Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Introduzione a AWS Security Hub CSPM
<a name="what-is-securityhub"></a>

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) ti offre una visione completa del tuo stato di sicurezza AWS e ti aiuta a valutare il tuo AWS ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza.

AWS Security Hub CSPM raccoglie dati sulla sicurezza su Account AWS prodotti di terze parti supportati e ti aiuta ad analizzare le tendenze della sicurezza e identificare i problemi di sicurezza con la massima priorità. Servizi AWS

Per aiutarti a gestire lo stato di sicurezza della tua organizzazione, Security Hub CSPM supporta diversi standard di sicurezza. Questi includono lo standard AWS Foundational Security Best Practices (FSBP) sviluppato da AWS e framework di conformità esterni come il Center for Internet Security (CIS), il Payment Card Industry Data Security Standard (PCI DSS) e il National Institute of Standards and Technology (NIST). Ogni standard include diversi controlli di sicurezza, ognuno dei quali rappresenta una best practice di sicurezza. Security Hub CSPM esegue controlli rispetto ai controlli di sicurezza e genera risultati di controllo per aiutarti a valutare la tua conformità rispetto alle migliori pratiche di sicurezza.

Oltre a generare risultati di controllo, Security Hub CSPM riceve anche i risultati da altri, Servizi AWS come Amazon, Amazon GuardDuty Inspector e Amazon Macie, e da prodotti di terze parti supportati. Questo ti offre un'unica finestra di controllo per una serie di problemi relativi alla sicurezza. Puoi anche inviare i risultati CSPM di Security Hub ad altri Servizi AWS prodotti di terze parti supportati.

Security Hub CSPM offre funzionalità di automazione che aiutano a valutare e risolvere i problemi di sicurezza. Ad esempio, è possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati critici quando un controllo di sicurezza fallisce. Puoi anche sfruttare l'integrazione con Amazon EventBridge per attivare risposte automatiche a risultati specifici.

**Topics**
+ [

## Vantaggi del Security Hub CSPM
](#securityhub-benefits)
+ [

## Accesso a Security Hub CSPM
](#securityhub-get-started)
+ [

## Servizi correlati
](#securityhub-related-services)
+ [

## Versione di prova gratuita e prezzi di Security Hub CSPM
](#securityhub-free-trial)
+ [

# Concetti e terminologia in Security Hub CSPM
](securityhub-concepts.md)
+ [

# Abilitazione del Security Hub CSPM
](securityhub-settingup.md)
+ [

# Gestione degli account di amministratore e membro in Security Hub CSPM
](securityhub-accounts.md)
+ [

# Comprendere l'aggregazione interregionale in Security Hub CSPM
](finding-aggregation.md)
+ [

# Comprensione degli standard di sicurezza in Security Hub CSPM
](standards-view-manage.md)
+ [

# Comprendere i controlli di sicurezza in Security Hub CSPM
](controls-view-manage.md)
+ [

# Comprendere le integrazioni in Security Hub CSPM
](securityhub-findings-providers.md)
+ [

# Creazione e aggiornamento dei risultati in Security Hub CSPM
](securityhub-findings.md)
+ [

# Visualizzazione degli approfondimenti in Security Hub CSPM
](securityhub-insights.md)
+ [

# Modifica e azione automatica dei risultati in Security Hub CSPM
](automations.md)
+ [

# Utilizzo della dashboard in Security Hub CSPM
](dashboard.md)
+ [

# Limiti regionali per Security Hub CSPM
](securityhub-regions.md)
+ [

# Creazione di risorse CSPM Security Hub con CloudFormation
](creating-resources-with-cloudformation.md)
+ [

# Iscrizione agli annunci CSPM di Security Hub con Amazon SNS
](securityhub-announcements.md)
+ [

# Disattivazione del Security Hub CSPM
](securityhub-disable.md)
+ [

# Sicurezza in AWS Security Hub CSPM
](security.md)
+ [

# Registrazione delle chiamate API Security Hub con CloudTrail
](securityhub-ct.md)

## Vantaggi del Security Hub CSPM
<a name="securityhub-benefits"></a>

Ecco alcuni dei modi principali in cui Security Hub CSPM consente di monitorare il livello di conformità e sicurezza in tutto l'ambiente. AWS 

**Riduzione dell'impegno per la raccolta e la definizione della priorità dei risultati**  
Security Hub CSPM riduce lo sforzo di raccogliere e assegnare priorità ai risultati di sicurezza tra gli account dei prodotti integrati Servizi AWS e dei partner. AWS Security Hub CSPM elabora la ricerca dei dati utilizzando il AWS Security Finding Format (ASFF), un formato di ricerca standard. Ciò elimina la necessità di gestire i risultati provenienti da una miriade di fonti in più formati. Security Hub CSPM mette inoltre in correlazione i risultati dei diversi provider per aiutarti a dare priorità a quelli più importanti.

**Controlli di sicurezza automatici rispetto alle best practice e agli standard**  
Security Hub CSPM esegue automaticamente controlli continui di configurazione e sicurezza a livello di account in base alle AWS migliori pratiche e agli standard del settore. Security Hub CSPM utilizza i risultati di questi controlli per calcolare i punteggi di sicurezza e identifica account e risorse specifici che richiedono attenzione.

**Vista consolidata dei risultati per account e provider**  
Security Hub CSPM consolida i risultati di sicurezza su account e prodotti del provider e visualizza i risultati sulla console Security Hub CSPM. Puoi anche recuperare i risultati tramite l'API CSPM Security Hub, AWS CLI oppure. SDKs Con una visione olistica dello stato di sicurezza attuale, è possibile individuare tendenze, identificare potenziali problemi e adottare le misure correttive necessarie.

**Capacità di automatizzare la ricerca di aggiornamenti e soluzioni**  
È possibile creare regole di automazione che modificano o sopprimono i risultati in base ai criteri definiti. Security Hub CSPM supporta anche l'integrazione con Amazon. EventBridge Per automatizzare la correzione di risultati specifici, puoi definire azioni personalizzate da intraprendere quando viene generato un risultato. Ad esempio, puoi configurare operazioni personalizzate per inviare risultati a un sistema di ticket o a un sistema di correzione automatizzato.

## Accesso a Security Hub CSPM
<a name="securityhub-get-started"></a>

Security Hub CSPM è disponibile nella maggior parte dei casi. Regioni AWS Per un elenco delle regioni in cui Security Hub CSPM è attualmente disponibile, consulta [Endpoint e quote CSPM di AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) in. *Riferimenti generali di AWS* *Per informazioni sulla gestione Regioni AWS del tuo account Account AWS, consulta [Specificazione dell'account che il Regioni AWS tuo account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) può utilizzare nella Guida di riferimento.Gestione dell'account AWS *

In ogni regione, puoi accedere e utilizzare Security Hub CSPM in uno dei seguenti modi:

**Console CSPM Security Hub**  
 Console di gestione AWS È un'interfaccia basata su browser che è possibile utilizzare per creare e gestire risorse. AWS Come parte di tale console, la console Security Hub CSPM fornisce l'accesso all'account, ai dati e alle risorse CSPM di Security Hub. È possibile eseguire attività CSPM di Security Hub utilizzando la console Security Hub CSPM: visualizzare i risultati, creare regole di automazione, creare un'area di aggregazione e altro ancora.

**API CSPM del Security Hub**  
L'API CSPM di Security Hub ti offre l'accesso programmatico all'account, ai dati e alle risorse CSPM di Security Hub. Con l'API, puoi inviare richieste HTTPS direttamente a Security Hub CSPM. Per informazioni sull'API, consulta l'*[AWS Security Hub API](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)* Reference.

**AWS CLI**  
Con AWS CLI, è possibile eseguire comandi dalla riga di comando del sistema per eseguire attività CSPM di Security Hub. In alcuni casi, l'utilizzo della riga di comando può essere più rapido e comodo rispetto all'utilizzo della console. La riga di comando è utile anche se si desidera creare script che eseguano operazioni. Per informazioni sull'installazione e l'utilizzo di AWS CLI, consultate la [Guida per l'AWS Command Line Interface utente](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).

**AWS SDKs**  
AWS fornisce SDKs che consistono in librerie e codice di esempio per vari linguaggi e piattaforme di programmazione, ad esempio Java, Go, Python, C\$1\$1 e.NET. SDKs Forniscono un accesso comodo e programmatico a Security Hub CSPM e ad altri Servizi AWS nella lingua preferita. Gestiscono anche attività come la firma crittografica delle richieste, la gestione degli errori e il ritentativo automatico delle richieste. Per informazioni sull'installazione e l'utilizzo di AWS SDKs, consulta [Tools to](https://aws.amazon.com/developertools/) Build on. AWS

**Importante**  
Security Hub CSPM rileva e consolida solo i risultati generati dopo aver abilitato Security Hub CSPM. Non rileva e consolida retroattivamente i risultati di sicurezza generati prima dell'attivazione di Security Hub CSPM.  
Security Hub CSPM riceve ed elabora i risultati solo nella regione in cui hai abilitato Security Hub CSPM nel tuo account.  
Per la piena conformità ai controlli di sicurezza di CIS AWS Foundations Benchmark, è necessario abilitare Security Hub CSPM in tutte le regioni supportate. AWS 

## Servizi correlati
<a name="securityhub-related-services"></a>

Per proteggere ulteriormente il tuo AWS ambiente, prendi in considerazione l'utilizzo di altri Servizi AWS in combinazione con Security Hub CSPM. Alcuni Servizi AWS inviano i risultati a Security Hub CSPM e Security Hub CSPM normalizza i risultati in un formato standard. Alcuni Servizi AWS possono anche ricevere i risultati dal Security Hub CSPM.

Per un elenco delle altre persone Servizi AWS che inviano o ricevono risultati CSPM di Security Hub, vedere. [Servizio AWS integrazioni con Security Hub CSPM](securityhub-internal-providers.md)

Security Hub CSPM utilizza regole collegate ai servizi AWS Config per eseguire i controlli di sicurezza per la maggior parte dei controlli. I controlli si riferiscono a risorse e specifiche. Servizi AWS AWS Per un elenco dei controlli CSPM di Security Hub, vedere. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) È necessario abilitare AWS Config e registrare le risorse in Security Hub CSPM AWS Config per generare la maggior parte dei risultati di controllo. Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

## Versione di prova gratuita e prezzi di Security Hub CSPM
<a name="securityhub-free-trial"></a>

Quando abiliti Security Hub CSPM Account AWS per la prima volta, quell'account viene automaticamente registrato a una prova gratuita di 30 giorni di Security Hub CSPM.

Quando utilizzi Security Hub CSPM durante la prova gratuita, ti viene addebitato l'utilizzo di altri servizi con cui interagisce Security Hub CSPM, come gli articoli. AWS Config Non ti vengono addebitati costi per AWS Config le regole attivate solo dagli standard di sicurezza CSPM di Security Hub.

Non ti verrà addebitato alcun costo per l'utilizzo del CSPM di Security Hub fino al termine del periodo di prova gratuito.

### Visualizzazione dei dettagli di utilizzo
<a name="usage-details"></a>

Security Hub CSPM fornisce informazioni sull'utilizzo, incluso il numero di controlli e risultati di sicurezza elaborati dal tuo account. I dettagli di utilizzo includono anche il tempo residuo della prova gratuita. Queste informazioni possono aiutarti a comprendere l'utilizzo del CSPM di Security Hub al termine del periodo di prova gratuito. Le informazioni sull'utilizzo sono disponibili anche al termine del periodo di prova gratuito.

**Per visualizzare le informazioni sull'utilizzo (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli **Utilizzo** in Impostazioni.**

Le informazioni sull'utilizzo sono solo per l'account corrente e la regione corrente. In una regione di aggregazione, le informazioni sull'utilizzo non includono le regioni collegate. Per ulteriori informazioni sulle regioni collegate, consulta[Tipi di dati aggregati](finding-aggregation.md#finding-aggregation-overview).

Per visualizzare i dettagli dei costi del tuo account, utilizza la [console di AWS fatturazione](https://console.aws.amazon.com/billing/).

### Dettagli prezzi
<a name="pricing-details"></a>

Per ulteriori informazioni su come Security Hub CSPM addebita i risultati acquisiti e i controlli di sicurezza, consulta i prezzi di [Security](https://aws.amazon.com/security-hub/pricing/) Hub CSPM.

# Concetti e terminologia in Security Hub CSPM
<a name="securityhub-concepts"></a>

In AWS Security Hub CSPM, ci basiamo su AWS concetti e terminologia comuni e utilizziamo questi termini aggiuntivi.

**Account**  
Un account Amazon Web Services (AWS) standard che contiene AWS le tue risorse. Puoi accedere AWS con il tuo account e abilitare Security Hub CSPM.  
Un account può invitare altri account ad abilitare Security Hub CSPM e associarsi a quell'account in Security Hub CSPM. L'accettazione di un invito è facoltativa. Se gli inviti vengono accettati, l'account diventa un account amministratore e gli account aggiunti sono account membro. Gli account amministratore possono visualizzare i risultati nei propri account membri.  
Se sei registrato AWS Organizations, l'organizzazione designa un account amministratore CSPM di Security Hub per l'organizzazione. L'account amministratore CSPM di Security Hub può abilitare altri account dell'organizzazione come account membro.  
Un account non può essere contemporaneamente un account amministratore e un account membro. Un account può avere un solo account amministratore.  
Per ulteriori informazioni, consulta [Gestione degli account di amministratore e membro in Security Hub CSPM](securityhub-accounts.md).

**Account amministratore**  
Un account in Security Hub CSPM a cui è concesso l'accesso per visualizzare i risultati degli account dei membri associati.  
Un account diventa un account amministratore in uno dei seguenti modi:  
+ L'account invita altri account a associarsi ad esso in Security Hub CSPM. Quando questi account accettano l'invito, diventano account membro e l'account che invita diventa il loro account amministratore.
+ L'account è designato da un account di gestione dell'organizzazione come account amministratore CSPM di Security Hub. L'account amministratore CSPM di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro e può anche invitare altri account a diventare account membro.
Un account può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

**Regione di aggregazione**  
L'impostazione di una regione di aggregazione consente di visualizzare i risultati di sicurezza provenienti da più aree Regioni AWS in un unico pannello di controllo.   
La regione di aggregazione è la regione da cui è possibile visualizzare e gestire i risultati. I risultati vengono aggregati alla regione di aggregazione delle regioni collegate. Gli aggiornamenti ai risultati vengono replicati in tutte le regioni.  
Nella regione di aggregazione, le pagine **degli standard di sicurezza, degli** **approfondimenti** e dei **risultati** includono i dati di tutte le aree collegate.  
Per ulteriori informazioni, consulta [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md).

**Risultati archiviati**  
Un risultato il cui stato di registrazione (`RecordState`) è`ARCHIVED`. L'archiviazione di un risultato indica che il fornitore del risultato ritiene che il risultato non sia più pertinente. Lo stato del record è diverso dallo stato del flusso di lavoro, che tiene traccia dello stato dell'indagine su un risultato.  
I provider di ricerca possono utilizzare il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)funzionamento dell'API CSPM Security Hub per archiviare i risultati che hanno creato. Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Per ulteriori informazioni, consulta [Generazione, aggiornamento e archiviazione dei risultati di controllo](controls-findings-create-update.md#securityhub-standards-results-updating).  
Nella console Security Hub CSPM, le impostazioni di filtro predefinite escludono i risultati archiviati dagli elenchi e dalle tabelle dei risultati. È possibile aggiornare le impostazioni per includere i risultati archiviati. Se si recuperano i risultati utilizzando l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operazione dell'API CSPM Security Hub, l'operazione recupera sia i risultati archiviati che quelli attivi. Per escludere i risultati archiviati, puoi filtrare i risultati. Esempio:  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Formato ASFF (Security Finding Format)**  
Un formato standardizzato per il contenuto dei risultati aggregati o generati da Security Hub CSPM. Il AWS Security Finding Format consente di utilizzare Security Hub CSPM per visualizzare e analizzare i risultati generati dai servizi di AWS sicurezza, dalle soluzioni di terze parti o dallo stesso Security Hub CSPM dall'esecuzione dei controlli di sicurezza. Per ulteriori informazioni, consulta [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).

**Controllo**  
Una salvaguardia o contromisura prescritta per un sistema informatico o un'organizzazione concepita per proteggere la riservatezza, l'integrità e la disponibilità delle sue informazioni e per soddisfare una serie di requisiti di sicurezza definiti. Uno standard di sicurezza è associato a una raccolta di controlli.  
Il termine *controllo di sicurezza* si riferisce ai controlli che hanno un unico ID e titolo di controllo per tutti gli standard. Il termine *controllo standard* si riferisce ai controlli con controlli IDs e titoli specifici dello standard. Attualmente, Security Hub CSPM supporta i controlli standard solo nelle regioni della Cina e. AWS GovCloud (US) Regions I controlli di sicurezza sono supportati in tutte le altre regioni.

**Operazione personalizzata**  
Un meccanismo CSPM di Security Hub per l'invio di risultati selezionati a. EventBridge Viene creata un'azione personalizzata in Security Hub CSPM. Viene quindi collegata a una EventBridge regola. La regola definisce un'operazione specifica da eseguire quando viene ricevuta una ricerca associata all'ID operazione personalizzato. Le operazioni personalizzate possono essere utilizzate, ad esempio, per inviare una ricerca specifica, o un piccolo set di risultati, a un flusso di lavoro di risposta o di correzione. Per ulteriori informazioni, consulta [Creazione di un'azione personalizzata](securityhub-cwe-configure.md).

**Account amministratore delegato (Organizations)**  
In AWS Organizations, l'account amministratore delegato per un servizio è in grado di gestire l'uso di un servizio per l'organizzazione.  
In Security Hub CSPM, l'account amministratore CSPM di Security Hub è anche l'account amministratore delegato per Security Hub CSPM. Quando l'account di gestione dell'organizzazione designa per la prima volta un account amministratore CSPM di Security Hub, Security Hub CSPM chiama Organizations per rendere quell'account l'account amministratore delegato.  
L'account di gestione dell'organizzazione deve quindi scegliere l'account amministratore delegato come account amministratore CSPM di Security Hub in tutte le regioni.

**Risultato**  
La registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub CSPM genera e aggiorna i risultati dopo aver completato i controlli di sicurezza. Questi sono chiamati risultati del *controllo*. I risultati possono provenire anche da integrazioni con altri prodotti Servizi AWS e di terze parti.  
Per ulteriori informazioni, consulta [Creazione e aggiornamento dei risultati in Security Hub CSPM](securityhub-findings.md).

**Aggregazione tra regioni**  
L'aggregazione di risultati, approfondimenti, stati di conformità dei controlli e punteggi di sicurezza dalle regioni collegate a una regione di aggregazione. È quindi possibile visualizzare tutti i dati della regione di aggregazione e aggiornare i risultati e gli approfondimenti della regione di aggregazione.  
Per ulteriori informazioni, consulta [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md).

**Individuazione dell'ingestione**  
L'importazione di risultati in Security Hub CSPM da altri AWS servizi e da fornitori partner terzi.  
Gli eventi di inserimento di Finding includono sia nuovi risultati che aggiornamenti dei risultati esistenti.

**Informazione dettagliata**  
Una raccolta di risultati correlati definiti da un'istruzione di aggregazione e filtri opzionali. Un'analisi identifica un'area di sicurezza che richiede attenzione e intervento. Security Hub CSPM offre diverse informazioni gestite (predefinite) che non è possibile modificare. Puoi anche creare approfondimenti CSPM personalizzati di Security Hub per tenere traccia dei problemi di sicurezza specifici per il tuo AWS ambiente e il tuo utilizzo. Per ulteriori informazioni, consulta [Visualizzazione degli approfondimenti in Security Hub CSPM](securityhub-insights.md).

**Regione collegata**  
Quando si abilita l'aggregazione tra aree geografiche, una regione collegata è un'area che aggrega risultati, approfondimenti, stati di conformità di controllo e punteggi di sicurezza nella regione di aggregazione.  
In una regione collegata, le pagine **Findings e **Insights** contengono solo i risultati** relativi a quella regione.  
Per ulteriori informazioni, consulta [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md).

**Account membro**  
Un account che ha concesso l'autorizzazione a un account amministratore per visualizzare i risultati e intervenire in base ai risultati.  
Un account diventa un account membro in uno dei seguenti modi:  
+ L'account accetta un invito da un altro account.
+ Per un account dell'organizzazione, l'account amministratore CSPM di Security Hub abilita l'account come account membro.

**Requisiti correlati**  
Un set di requisiti di settore o normativi mappati a un controllo.

**Regola**  
Un set di criteri automatizzati utilizzati per valutare se un controllo viene rispettato. Quando viene valutata una regola, il risultato può essere positivo o negativo. Se la valutazione non è in grado di determinare se la regola ha esito negativo o positivo, la regola è in uno stato di avviso. Se la regola non può essere valutata, significa che è in uno stato non disponibile.

**Controllo di sicurezza**  
Una point-in-time valutazione specifica di una regola rispetto a una singola risorsa risultante in uno`PASSED`, `FAILED``WARNING`, o `NOT_AVAILABLE` stato. L'esecuzione di un controllo di sicurezza produce un risultato.

**Account amministratore CSPM Security Hub**  
Un account dell'organizzazione che gestisce l'iscrizione a Security Hub CSPM per un'organizzazione.  
L'account di gestione dell'organizzazione designa l'account amministratore CSPM di Security Hub in ciascuna regione. L'account di gestione dell'organizzazione deve scegliere lo stesso account amministratore CSPM di Security Hub in tutte le regioni.  
L'account amministratore CSPM di Security Hub è anche l'account amministratore delegato per Security Hub CSPM in Organizations.  
L'account amministratore CSPM di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro. L'account amministratore CSPM di Security Hub può anche invitare altri account a diventare account membri.

**Standard di sicurezza**  
Un'istruzione pubblicata su un argomento che specifica le caratteristiche, di solito misurabili e sotto forma di controlli, che devono essere soddisfatte o archiviate per conformità. Gli standard di sicurezza possono essere basati su framework normativi, best practice o policy aziendali interne. Un controllo può essere associato a uno o più standard supportati in Security Hub CSPM. Per ulteriori informazioni sugli standard di sicurezza in Security Hub CSPM, vedere. [Comprensione degli standard di sicurezza in Security Hub CSPM](standards-view-manage.md)

**Gravità**  
La severità assegnata a un controllo CSPM di Security Hub identifica l'importanza del controllo. **La severità di un controllo può essere **critica**, **alta**, **media**, **bassa** o informativa.** La severità assegnata ai risultati del controllo è uguale alla gravità del controllo stesso. Per ulteriori informazioni su come Security Hub CSPM assegna la gravità a un controllo, vedere. [Livelli di gravità per i risultati del controllo](controls-findings-create-update.md#control-findings-severity)

**Stato del flusso di lavoro**  
Lo stato di un'indagine su un risultato. Questo viene tracciato utilizzando l'attributo. `Workflow.Status`  
Lo stato del flusso di lavoro è inizialmente `NEW`. Se hai notificato al proprietario della risorsa che viene intrapresa un'azione per il risultato, puoi impostare lo stato del flusso di lavoro su `NOTIFIED`. Se il risultato non è un problema e non richiede alcuna azione, imposta lo stato del flusso di lavoro su `SUPPRESSED`. Dopo aver esaminato e risolto un risultato, imposta lo stato del flusso di lavoro su `RESOLVED`.  
Per impostazione predefinita, la maggior parte degli elenchi di risultati include solo risultati con stato del flusso di lavoro `NEW` o `NOTIFIED`. Gli elenchi di risultati per i controlli includono anche i risultati `RESOLVED`.  
Per l'operazione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html), puoi includere un filtro per lo stato del flusso di lavoro.  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
La console CSPM di Security Hub offre un'opzione per impostare lo stato del flusso di lavoro per i risultati. I clienti (o gli strumenti SIEM, creazione di ticket, gestione degli incidenti o SOAR che lavorano per conto di un cliente per aggiornare i risultati dei provider di risultati) possono anche utilizzare [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) per aggiornare lo stato del flusso di lavoro.

# Abilitazione del Security Hub CSPM
<a name="securityhub-settingup"></a>

Esistono due modi per abilitare AWS Security Hub CSPM, mediante l'integrazione o manualmente. AWS Organizations 

Consigliamo vivamente l'integrazione con Organizations per ambienti con più account e più regioni. Se si dispone di un account indipendente, è necessario configurare manualmente Security Hub CSPM.

## Verifica delle autorizzazioni necessarie
<a name="securityhub-setup-permissions"></a>

Dopo esserti registrato ad Amazon Web Services (AWS), devi abilitare Security Hub CSPM per utilizzarne le funzionalità e le caratteristiche. Per abilitare Security Hub CSPM, devi prima configurare le autorizzazioni che ti consentano di accedere alla console CSPM di Security Hub e alle operazioni API. Tu o il tuo AWS amministratore potete farlo utilizzando AWS Identity and Access Management (IAM) per allegare la policy AWS gestita chiamata `AWSSecurityHubFullAccess` alla vostra identità IAM.

Per abilitare e gestire Security Hub CSPM tramite l'integrazione Organizations, è inoltre necessario allegare la policy AWS gestita denominata. `AWSSecurityHubOrganizationsAccess`

Per ulteriori informazioni, consulta [AWS politiche gestite per Security Hub](security-iam-awsmanpol.md).

## Abilitazione del Security Hub CSPM con l'integrazione Organizations
<a name="securityhub-orgs-setup-overview"></a>

Per iniziare a utilizzare Security Hub CSPM con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore CSPM di Security Hub delegato per l'organizzazione. Security Hub CSPM viene abilitato automaticamente nell'account amministratore delegato nella regione corrente.

Scegliete il metodo preferito e seguite i passaggi per designare l'amministratore delegato.

------
#### [ Security Hub CSPM console ]

**Per designare l'amministratore CSPM delegato del Security Hub al momento dell'onboarding**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Vai a Security Hub CSPM**. Ti viene richiesto di accedere all'account di gestione Organizations.

1. Nella pagina **Designa amministratore delegato**, nella sezione **Account amministratore delegato, specifica l'account amministratore** delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

1. Scegli **Imposta amministratore delegato.**

------
#### [ Security Hub CSPM API ]

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API dall'account di gestione Organizations. Fornisci l' Account AWS ID dell'account amministratore delegato CSPM di Security Hub.

------
#### [ AWS CLI ]

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)comando dall'account di gestione Organizations. Fornisci l' Account AWS ID dell'account amministratore delegato CSPM di Security Hub.

**Comando di esempio:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Per ulteriori informazioni sull'integrazione con Organizations, vedere[Integrazione del Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

### Configurazione centrale
<a name="securityhub-central-config"></a>

Quando integri Security Hub CSPM e Organizations, hai la possibilità di utilizzare una funzionalità chiamata [configurazione centrale](central-configuration-intro.md) per configurare e gestire Security Hub CSPM per la tua organizzazione. Consigliamo vivamente di utilizzare la configurazione centrale perché consente all'amministratore di personalizzare la copertura di sicurezza per l'organizzazione. Se del caso, l'amministratore delegato può consentire a un account membro di configurare le proprie impostazioni di copertura di sicurezza.

La configurazione centrale consente all'amministratore delegato di configurare Security Hub CSPM tra gli account e. OUs Regioni AWS L'amministratore delegato configura Security Hub CSPM creando policy di configurazione. All'interno di una politica di configurazione, è possibile specificare le seguenti impostazioni:
+ Se Security Hub CSPM è abilitato o disabilitato
+ Quali standard di sicurezza sono abilitati e disabilitati
+ Quali controlli di sicurezza sono abilitati e disabilitati
+ Se personalizzare i parametri per determinati controlli

In qualità di amministratore delegato, puoi creare un'unica politica di configurazione per l'intera organizzazione o politiche di configurazione diverse per i vari account e OUs. Ad esempio, gli account di test e gli account di produzione possono utilizzare politiche di configurazione diverse.

Gli account dei membri e OUs che utilizzano una politica di configurazione sono *gestiti centralmente* e possono essere configurati solo dall'amministratore delegato. L'amministratore delegato può designare account membri specifici e OUs *gestirli autonomamente* per dare al membro la possibilità di configurare le proprie impostazioni su base individuale. Region-by-Region

Se non si utilizza la configurazione centrale, è necessario configurare principalmente Security Hub CSPM separatamente in ogni account e regione. Questa è chiamata configurazione [locale](local-configuration.md). Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.

## Abilitazione manuale del Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

È necessario abilitare Security Hub CSPM manualmente se si dispone di un account autonomo o se non si esegue l'integrazione con. AWS Organizations Gli account autonomi non possono integrarsi AWS Organizations e devono utilizzare l'abilitazione manuale.

Quando si abilita Security Hub CSPM manualmente, si designa un account amministratore CSPM di Security Hub e si invitano altri account a diventare account membri. La relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.

Scegli il tuo metodo preferito e segui i passaggi per abilitare Security Hub CSPM. Quando abiliti Security Hub CSPM dalla console, hai anche la possibilità di abilitare gli standard di sicurezza supportati.

------
#### [ Security Hub CSPM console ]

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Quando apri la console Security Hub CSPM per la prima volta, scegli **Vai a Security Hub** CSPM.

1. Nella pagina di benvenuto, la sezione **Standard di sicurezza elenca gli standard** di sicurezza supportati da Security Hub CSPM.

   Seleziona la casella di controllo relativa a uno standard per abilitarlo e deseleziona la casella di controllo per disabilitarlo.

   È possibile abilitare o disabilitare uno standard o i relativi controlli singoli in qualsiasi momento. Per informazioni sulla gestione degli standard di sicurezza, vedere[Comprensione degli standard di sicurezza in Security Hub CSPM](standards-view-manage.md).

1. Scegliere **Enable Security Hub (Abilita Security Hub)**.

------
#### [ Security Hub CSPM API ]

Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API. Quando abiliti Security Hub CSPM dall'API, abilita automaticamente i seguenti standard di sicurezza predefiniti:
+ AWS Best practice di sicurezza di base
+ Benchmark v1.2.0 dei AWS fondamenti del Center for Internet Security (CIS)

Se non desideri abilitare questi standard, imposta `EnableDefaultStandards` su `false`.

È inoltre possibile utilizzare il `Tags` parametro per assegnare valori di tag alla risorsa dell'hub.

------
#### [ AWS CLI ]

Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Per abilitare gli standard predefiniti, `--enable-default-standards` includi. Per non abilitare gli standard predefiniti, includi`--no-enable-default-standards`. Gli standard di sicurezza predefiniti sono i seguenti:
+ AWS Best practice di sicurezza di base
+ Benchmark v1.2.0 dei AWS fondamenti del Center for Internet Security (CIS)

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Esempio**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script di abilitazione per più account
<a name="securityhub-enable-multiaccount-script"></a>

**Nota**  
Invece di questo script, consigliamo di utilizzare la configurazione centrale per abilitare e configurare Security Hub CSPM su più account e regioni. 

Lo [script di abilitazione multi-account Security Hub CSPM GitHub](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) consente di abilitare Security Hub CSPM tra account e regioni. Lo script automatizza anche il processo di invio e attivazione degli inviti agli account dei membri. AWS Config

Lo script abilita automaticamente la registrazione AWS Config delle risorse per tutte le risorse, incluse le risorse globali, in tutte le regioni. Non limita la registrazione delle risorse globali a una singola regione. Per risparmiare sui costi, consigliamo di registrare le risorse globali in una sola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa dovrebbe essere la tua regione di origine. Per ulteriori informazioni, consulta [Registrazione delle risorse in AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Esiste uno script corrispondente per disabilitare Security Hub CSPM tra account e regioni.

## Fasi successive: gestione e integrazioni della postura
<a name="securityhub-enable-next-steps"></a>

Dopo aver abilitato Security Hub CSPM, ti consigliamo di abilitare gli standard e i controlli di sicurezza per monitorare il tuo livello di sicurezza. Dopo aver abilitato i controlli, Security Hub CSPM inizia a eseguire controlli di sicurezza e a generare risultati di controllo che aiutano a rilevare configurazioni errate nell'ambiente. AWS Per ricevere i risultati del controllo, è necessario abilitare e configurare AWS Config Security Hub CSPM. Per ulteriori informazioni, consulta [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md).

Dopo aver abilitato Security Hub CSPM, puoi anche sfruttare le integrazioni tra Security Hub CSPM Servizi AWS e altre soluzioni di terze parti per visualizzarne i risultati in Security Hub CSPM. Security Hub CSPM aggrega i risultati da diverse fonti e li inserisce in un formato coerente. Per ulteriori informazioni, consulta [Comprendere le integrazioni in Security Hub CSPM](securityhub-findings-providers.md). 

# Abilitazione e configurazione AWS Config per Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM utilizza AWS Config regole per eseguire controlli di sicurezza e generare risultati per la maggior parte dei controlli. AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo. Account AWS Utilizza regole per stabilire una configurazione di base per le risorse e un registratore di configurazione per rilevare se una particolare risorsa viola le condizioni di una regola.

Alcune regole, denominate regole AWS Config gestite, sono predefinite e sviluppate da. AWS Config Altre regole sono AWS Config regole personalizzate sviluppate da Security Hub CSPM. AWS Config le regole utilizzate da Security Hub CSPM per i controlli sono denominate regole collegate ai *servizi*. Le regole collegate ai servizi consentono, Servizi AWS ad esempio Security Hub CSPM, di creare AWS Config regole nell'account. 

Per ricevere i risultati del controllo in Security Hub CSPM, devi abilitarli AWS Config per il tuo account. È inoltre necessario attivare la registrazione delle risorse per i tipi di risorse valutate dai controlli abilitati. Security Hub CSPM può quindi creare le AWS Config regole appropriate per i controlli e iniziare a eseguire controlli di sicurezza e generare risultati per i controlli.

**Topics**
+ [

## Considerazioni prima dell'attivazione e della configurazione AWS Config
](#securityhub-prereq-config)
+ [

## Registrazione delle risorse in AWS Config
](#config-resource-recording)
+ [

## Modi per abilitare e configurare AWS Config
](#config-how-to-enable)
+ [

## Comprensione del controllo Config.1
](#config-1-overview)
+ [

## Generazione di regole legate ai servizi
](#securityhub-standards-generate-awsconfigrules)
+ [

## Considerazioni sui costi
](#config-cost-considerations)

## Considerazioni prima dell'attivazione e della configurazione AWS Config
<a name="securityhub-prereq-config"></a>

Per ricevere i risultati del controllo in Security Hub CSPM, AWS Config devi abilitarli per il tuo account in tutti i paesi in Regione AWS cui è abilitato Security Hub CSPM. Se si utilizza Security Hub CSPM per un ambiente con più account, AWS Config deve essere abilitato in ogni regione per l'account amministratore e tutti gli account dei membri.

Ti consigliamo vivamente di attivare la registrazione delle risorse AWS Config *prima* di abilitare qualsiasi standard e controllo CSPM di Security Hub. Questo ti aiuta a garantire che i risultati dei controlli siano accurati.

Per attivare la registrazione delle risorse AWS Config, devi disporre di autorizzazioni sufficienti per registrare le risorse nel ruolo AWS Identity and Access Management (IAM) collegato al registratore di configurazione. Inoltre, assicurati che nessuna policy o AWS Organizations policy IAM AWS Config impedisca di avere l'autorizzazione a registrare le tue risorse. I controlli CSPM di Security Hub valutano direttamente le configurazioni delle risorse e non tengono conto delle AWS Organizations politiche. *Per ulteriori informazioni sulla AWS Config registrazione, consulta [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

Se abiliti uno standard in Security Hub CSPM ma non lo hai abilitato AWS Config, Security Hub CSPM tenta di creare AWS Config regole collegate ai servizi secondo la seguente pianificazione:
+ Il giorno in cui abiliti lo standard.
+ Il giorno dopo aver abilitato lo standard.
+ 3 giorni dopo l'attivazione dello standard.
+ 7 giorni dopo l'attivazione dello standard e successivamente in modo continuativo ogni 7 giorni.

Se si utilizza la configurazione centrale, Security Hub CSPM tenta anche di creare AWS Config regole collegate ai servizi ogni volta che si associa una politica di configurazione che abilita uno o più standard agli account, alle unità organizzative (OUs) o alla radice.

## Registrazione delle risorse in AWS Config
<a name="config-resource-recording"></a>

Quando si abilita AWS Config, è necessario specificare quali AWS risorse si desidera che il registratore di AWS Config configurazione registri. Tramite le regole collegate al servizio, il registratore di configurazione consente a Security Hub CSPM di rilevare le modifiche alle configurazioni delle risorse.

Affinché Security Hub CSPM generi risultati di controllo accurati, è necessario attivare la registrazione AWS Config per i tipi di risorse che corrispondono ai controlli abilitati. Sono principalmente abilitati i controlli con un tipo di pianificazione *innescato dalla modifica* che richiedono la registrazione delle risorse. Alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Per un elenco di questi controlli e delle risorse corrispondenti, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md).

**avvertimento**  
Se non configuri correttamente AWS Config la registrazione per i controlli CSPM di Security Hub, i risultati dei controlli possono essere imprecisi, in particolare nei seguenti casi:  
Non hai mai registrato la risorsa per un determinato controllo o hai disabilitato la registrazione di una risorsa prima di creare quel tipo di risorsa. In questi casi, riceverete un `WARNING` risultato relativo al controllo in questione, anche se potreste aver creato delle risorse nell'ambito del controllo dopo aver disattivato la registrazione. Questo `WARNING` risultato è un risultato predefinito che in realtà non valuta lo stato di configurazione della risorsa.
Si disabilita la registrazione per una risorsa che viene valutata da un particolare controllo. In questo caso, Security Hub CSPM conserva i risultati del controllo generati prima della disattivazione della registrazione, anche se il controllo non valuta risorse nuove o aggiornate. Security Hub CSPM modifica anche lo stato di conformità dei risultati in. `WARNING` Questi risultati conservati potrebbero non riflettere accuratamente lo stato di configurazione corrente di una risorsa.

Per impostazione predefinita, AWS Config registra tutte le *risorse regionali* supportate che rileva nell'ambiente Regione AWS in cui è in esecuzione. Per ricevere tutti i risultati del controllo CSPM di Security Hub, è inoltre necessario AWS Config configurare la registrazione delle risorse *globali*. Per risparmiare sui costi, consigliamo di registrare le risorse globali solo in una singola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa regione dovrebbe essere la tua regione di origine.

In AWS Config, puoi scegliere tra la *registrazione continua e la registrazione* *giornaliera* delle modifiche allo stato delle risorse. Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati CSPM di Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.

[https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)

## Modi per abilitare e configurare AWS Config
<a name="config-how-to-enable"></a>

È possibile abilitare AWS Config e attivare la registrazione delle risorse in uno dei seguenti modi:
+ **AWS Config console**: è possibile attivare AWS Config un account utilizzando la AWS Config console. Per istruzioni, consulta [Configurazione AWS Config con la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) nella *Guida per gli AWS Config sviluppatori*.
+ **AWS CLI oppure SDKs** — È possibile attivare AWS Config un account utilizzando AWS Command Line Interface (AWS CLI). Per istruzioni, consulta [Configurazione AWS Config con AWS CLI nella](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) *Guida per gli AWS Config sviluppatori*. AWS i kit di sviluppo software (SDKs) sono disponibili anche per molti linguaggi di programmazione.
+ **CloudFormation modello** — AWS Config Per abilitare più account, consigliamo di utilizzare il AWS CloudFormation modello denominato **Enable. AWS Config** Per accedere a questo modello, consulta i [modelli di AWS CloudFormation StackSet esempio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) nella *Guida AWS CloudFormation per l'utente*.

  Per impostazione predefinita, questo modello esclude la registrazione per le risorse globali IAM. Assicurati di attivare la registrazione per le risorse globali IAM in una sola volta Regione AWS per ridurre i costi di registrazione. Se hai abilitato l'aggregazione tra regioni, questa dovrebbe essere la tua area di origine del [Security Hub CSPM](finding-aggregation.md). Altrimenti, può essere qualsiasi regione in cui è disponibile Security Hub CSPM che supporta la registrazione di risorse globali IAM. Consigliamo di eseguirne una StackSet per registrare tutte le risorse, incluse le risorse globali IAM, nella regione principale o in un'altra regione selezionata. Quindi, esegui un secondo StackSet per registrare tutte le risorse tranne le risorse globali IAM in altre regioni.
+ **GitHub script** — Security Hub CSPM offre uno [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) che abilita Security Hub CSPM e AWS Config per più account tra le regioni. Questo script è utile se non hai ancora effettuato l'integrazione o se disponi AWS Organizations di alcuni account membri che non fanno parte di un'organizzazione.

Per ulteriori informazioni, consulta il seguente post sul blog sulla *AWS sicurezza*: [Optimize AWS Config for AWS Security Hub CSPM per gestire efficacemente la tua posizione di sicurezza sul cloud](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Comprensione del controllo Config.1
<a name="config-1-overview"></a>

In Security Hub CSPM, il controllo [Config.1](config-controls.md#config-1) genera `FAILED` risultati nell'account se è disabilitato. AWS Config Inoltre, genera `FAILED` risultati nel tuo account se AWS Config è abilitato ma la registrazione delle risorse non è attivata. 

Se AWS Config è abilitata e la registrazione delle risorse è attivata, ma la registrazione delle risorse non è attivata per un tipo di risorsa controllata da un controllo abilitato, Security Hub CSPM genera un `FAILED` risultato per il controllo Config.1. Oltre a questo `FAILED` risultato, Security Hub CSPM genera `WARNING` risultati per il controllo abilitato e i tipi di risorse controllate dal controllo. Ad esempio, se si abilita il controllo [KMS.5](kms-controls.md#kms-5) e la registrazione delle risorse non è attivata AWS KMS keys, Security Hub CSPM genera un `FAILED` risultato per il controllo Config.1. Security Hub CSPM genera anche `WARNING` risultati per il controllo KMS.5 e le tue chiavi KMS.

Per ricevere un `PASSED` risultato per il controllo Config.1, attiva la registrazione delle risorse per tutti i tipi di risorse che corrispondono ai controlli abilitati. Disabilita anche i controlli che non sono necessari per la tua organizzazione. Questo aiuta a garantire che non vi siano lacune di configurazione nei controlli di sicurezza. Contribuisce inoltre a garantire la ricezione di risultati accurati sulle risorse configurate in modo errato.

Se sei l'amministratore CSPM delegato di Security Hub per un'organizzazione, la AWS Config registrazione deve essere configurata correttamente per il tuo account e i tuoi account membro. Se utilizzi l'aggregazione tra regioni, la AWS Config registrazione deve essere configurata correttamente nella regione d'origine e in tutte le regioni collegate. Le risorse globali non devono essere registrate nelle regioni collegate.

## Generazione di regole legate ai servizi
<a name="securityhub-standards-generate-awsconfigrules"></a>

Per ogni controllo che utilizza una AWS Config regola collegata al servizio, Security Hub CSPM crea istanze della regola richiesta nell'ambiente. AWS 

Queste regole collegate ai servizi sono specifiche per Security Hub CSPM. Security Hub CSPM crea queste regole collegate ai servizi anche se esistono già altre istanze delle stesse regole. La regola collegata al servizio viene aggiunta `securityhub` prima del nome della regola originale e un identificatore univoco dopo il nome della regola. Ad esempio, per la regola AWS Config gestita`vpc-flow-logs-enabled`, il nome della regola collegata al servizio potrebbe essere. `securityhub-vpc-flow-logs-enabled-12345`

Esistono quote per il numero di regole AWS Config gestite che possono essere utilizzate per valutare i controlli. AWS Config le regole create da Security Hub CSPM non contano ai fini di tali quote. Puoi abilitare uno standard di sicurezza anche se hai già raggiunto la AWS Config quota di regole gestite nel tuo account. Per ulteriori informazioni sulle quote per AWS Config le regole, consulta la sezione [Limiti del servizio AWS Config nella Guida per](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) *gli AWS Config sviluppatori*.

## Considerazioni sui costi
<a name="config-cost-considerations"></a>

Security Hub CSPM può influire sui costi del registratore di AWS Config configurazione aggiornando l'`AWS::Config::ResourceCompliance`elemento di configurazione. Gli aggiornamenti possono avvenire ogni volta che un controllo CSPM di Security Hub associato a una AWS Config regola modifica lo stato di conformità, viene abilitato o disabilitato o presenta aggiornamenti dei parametri. Se utilizzi il registratore di AWS Config configurazione solo per Security Hub CSPM e non usi questo elemento di configurazione per altri scopi, ti consigliamo di disattivarne la registrazione. AWS Config Questo può ridurre i costi. AWS Config Non è necessario registrare i controlli di sicurezza `AWS::Config::ResourceCompliance` per funzionare in Security Hub CSPM.

[Per informazioni sui costi associati alla registrazione delle risorse, consulta i [prezzi e AWS Config i prezzi AWS di Security Hub CSPM](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Comprendere la configurazione locale in Security Hub CSPM
<a name="local-configuration"></a>

La configurazione locale è il modo predefinito in cui un' AWS organizzazione viene configurata in Security Hub CSPM. Se non si attiva e non si abilita la configurazione centrale, l'organizzazione utilizza la configurazione locale per impostazione predefinita.

Nella configurazione locale, l'account amministratore CSPM di Security Hub delegato ha un controllo limitato sulle impostazioni di configurazione. Le uniche impostazioni che l'amministratore delegato può applicare sono l'abilitazione automatica del Security Hub CSPM e degli standard di sicurezza predefiniti nei nuovi account dell'organizzazione. Queste impostazioni si applicano solo nella regione in cui è stato designato l'account amministratore delegato. Gli standard di sicurezza predefiniti sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Le impostazioni di configurazione locali non si applicano agli account dell'organizzazione esistenti o alle regioni diverse da quella in cui è stato designato l'account amministratore delegato.

Oltre ad abilitare Security Hub CSPM e gli standard predefiniti nei nuovi account dell'organizzazione in una singola regione, è necessario configurare altre impostazioni CSPM di Security Hub, inclusi standard e controlli, separatamente in ogni regione e account. Poiché questo può essere un processo duplicato, consigliamo di utilizzare la configurazione centrale per un ambiente con più account se si verifica una o più delle seguenti condizioni:
+ Desideri impostazioni di configurazione diverse per varie parti dell'organizzazione (ad esempio, standard o controlli abilitati diversi per team diversi).
+ Operate in più regioni e desiderate ridurre i tempi e la complessità della configurazione del servizio in queste regioni.
+ Desideri che i nuovi account utilizzino impostazioni di configurazione specifiche quando entrano a far parte dell'organizzazione.
+ Vuoi che gli account dell'organizzazione ereditino impostazioni di configurazione specifiche da un account principale o root.

Per informazioni sulla configurazione centrale, vedere[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

# Comprendere la configurazione centrale in Security Hub CSPM
<a name="central-configuration-intro"></a>

La configurazione centrale è una funzionalità CSPM di AWS Security Hub che consente di configurare e gestire Security Hub CSPM su più e. Account AWS Regioni AWS Per utilizzare la configurazione centrale, è necessario prima integrare Security Hub CSPM e. AWS OrganizationsÈ possibile integrare i servizi creando un'organizzazione e designando un account amministratore CSPM Security Hub delegato per l'organizzazione.

Dall'account amministratore CSPM di Security Hub delegato, puoi abilitare Security Hub CSPM per gli account e le unità organizzative dell'organizzazione () in tutte le regioni. OUs È inoltre possibile abilitare, configurare e disabilitare singoli standard di sicurezza e controlli di sicurezza per gli account e tra le regioni. OUs Puoi configurare queste impostazioni in pochi passaggi da una regione principale, denominata *regione d'origine*.

Quando si utilizza la configurazione centrale, l'amministratore delegato può scegliere quali account e OUs configurare. Se l'amministratore delegato designa un account membro o un'unità organizzativa come *autogestita*, il membro può configurare le proprie impostazioni separatamente in ciascuna regione. Se l'amministratore delegato designa un account membro o un'unità organizzativa come *gestita centralmente*, solo l'amministratore delegato può configurare l'account membro o l'unità organizzativa in tutte le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi.

Per configurare gli account gestiti centralmente, l'amministratore delegato utilizza le politiche di configurazione CSPM di Security Hub. Le politiche di configurazione consentono all'amministratore delegato di specificare se Security Hub CSPM è abilitato o disabilitato e quali standard e controlli sono abilitati o disabilitati. Possono essere utilizzati anche per personalizzare i parametri per determinati controlli.

Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato specifica la regione di origine dell'organizzazione e le regioni collegate prima di iniziare a utilizzare la configurazione centrale. La specificazione delle regioni collegate è facoltativa. L'amministratore delegato può creare un'unica politica di configurazione per l'intera organizzazione o creare più politiche di configurazione per configurare impostazioni variabili per diversi account e. OUs

**Suggerimento**  
Se non si utilizza la configurazione centrale, è necessario configurare principalmente Security Hub CSPM separatamente in ogni account e regione. Questa è chiamata configurazione *locale*. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.

Questa sezione fornisce una panoramica della configurazione centrale.

## Vantaggi dell'utilizzo della configurazione centrale
<a name="central-configuration-benefits"></a>

I vantaggi della configurazione centrale includono quanto segue:

**Semplifica la configurazione del servizio e delle funzionalità CSPM di Security Hub**  
Quando utilizzi la configurazione centrale, Security Hub CSPM ti guida attraverso il processo di configurazione delle best practice di sicurezza per la tua organizzazione. Inoltre, distribuisce le politiche di configurazione risultanti su account specifici e automaticamente. OUs Se disponi di impostazioni CSPM di Security Hub esistenti, come l'abilitazione automatica di nuovi controlli di sicurezza, puoi utilizzarle come punto di partenza per le tue politiche di configurazione. Inoltre, la pagina di **configurazione** sulla console CSPM di Security Hub mostra un riepilogo in tempo reale delle politiche di configurazione e degli account e delle modalità di OUs utilizzo di ciascuna politica.

**Configurazione su più account e regioni**  
È possibile utilizzare la configurazione centrale per configurare Security Hub CSPM su più account e regioni. Questo aiuta a garantire che ogni parte dell'organizzazione mantenga una configurazione coerente e una copertura di sicurezza adeguata.

**Adatta configurazioni diverse in account diversi e OUs**  
Con la configurazione centralizzata, puoi scegliere di configurare gli account della tua organizzazione e OUs in diversi modi. Ad esempio, gli account di test e gli account di produzione potrebbero richiedere configurazioni diverse. Puoi anche creare una politica di configurazione che copra i nuovi account quando entrano a far parte dell'organizzazione.

**Previeni la deriva della configurazione**  
La modifica della configurazione si verifica quando un utente apporta una modifica a un servizio o a una funzionalità che è in conflitto con le selezioni dell'amministratore delegato. La configurazione centrale impedisce questa deriva. Quando si designa un account o un'unità organizzativa come gestito centralmente, tale account o unità organizzativa è configurabile solo dall'amministratore delegato dell'organizzazione. Se si preferisce che un account o un'unità organizzativa specifici configurino le proprie impostazioni, è possibile designarlo come autogestito.

## Quando utilizzare la configurazione centrale?
<a name="central-configuration-audience"></a>

La configurazione centrale è particolarmente utile per AWS gli ambienti che includono più account CSPM di Security Hub. È progettato per aiutarti a gestire centralmente Security Hub CSPM per più account.

È possibile utilizzare la configurazione centrale per configurare il servizio CSPM Security Hub, gli standard di sicurezza e i controlli di sicurezza. È inoltre possibile utilizzarlo per personalizzare i parametri di determinati controlli. Per ulteriori informazioni sugli standard di sicurezza, vedere[Comprensione degli standard di sicurezza in Security Hub CSPM](standards-view-manage.md). Per ulteriori informazioni sui controlli di sicurezza, vedere[Comprendere i controlli di sicurezza in Security Hub CSPM](controls-view-manage.md).



## Termini e concetti relativi alla configurazione centrale
<a name="central-configuration-concepts"></a>

La comprensione dei seguenti termini e concetti chiave può aiutarti a utilizzare la configurazione centrale CSPM di Security Hub.

**Configurazione centrale**  
Una funzionalità CSPM di Security Hub che aiuta l'account amministratore CSPM di Security Hub delegato per un'organizzazione a configurare il servizio CSPM Security Hub, gli standard di sicurezza e i controlli di sicurezza su più account e regioni. Per configurare queste impostazioni, l'amministratore delegato crea e gestisce le politiche di configurazione CSPM di Security Hub per gli account gestiti centralmente nella propria organizzazione. Gli account autogestiti possono configurare le proprie impostazioni separatamente in ciascuna regione. Per utilizzare la configurazione centrale, è necessario integrare Security Hub CSPM e. AWS Organizations

**Regione d'origine**  
 Regione AWS Da cui l'amministratore delegato configura centralmente Security Hub CSPM, creando e gestendo le politiche di configurazione. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.  
La regione di origine funge anche da regione di aggregazione CSPM del Security Hub e riceve risultati, approfondimenti e altri dati dalle regioni collegate.  
Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. Una regione opt-in non può essere la regione di origine, ma può essere una regione collegata. Per un elenco delle regioni che hanno aderito, consulta [Considerazioni prima di abilitare e disabilitare le regioni](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) nella Guida di riferimento per la gestione degli *AWS account*.

**Regione collegata**  
E Regione AWS che è configurabile dalla regione di origine. Le politiche di configurazione vengono create dall'amministratore delegato nella regione di origine. Le politiche hanno effetto nella regione di origine e in tutte le regioni collegate. La specificazione delle regioni collegate è facoltativa.  
Una regione collegata invia inoltre risultati, approfondimenti e altri dati alla regione di origine.  
Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. È necessario abilitare tale regione per un account prima di potervi applicare una politica di configurazione. L'account di gestione Organizations può abilitare le regioni opzionali per un account membro. Per ulteriori informazioni, consulta [Specificare quali Regioni AWS account può essere utilizzato dal proprio account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) nella *Guida di riferimento per la gestione degli AWS account*.

**Target**  
Un' Account AWS unità organizzativa (OU) o la radice dell'organizzazione.

**Politica di configurazione CSPM di Security Hub**  
Una raccolta di impostazioni CSPM di Security Hub che l'amministratore delegato può configurare per destinazioni gestite centralmente. Questo include:  
+ Se abilitare o disabilitare Security Hub CSPM.
+ Se abilitare uno o più standard di [sicurezza](standards-reference.md).
+ Quali [controlli di sicurezza](securityhub-controls-reference.md) abilitare tra gli standard abilitati. L'amministratore delegato può farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati). In alternativa, l'amministratore delegato può fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati).
+ Facoltativamente, [personalizza i parametri](custom-control-parameters.md) per selezionare i controlli abilitati tra gli standard abilitati.
Una politica di configurazione ha effetto nella regione di origine e in tutte le regioni collegate dopo essere stata associata ad almeno un account, un'unità organizzativa (OU) o la directory principale.  
Sulla console Security Hub CSPM, l'amministratore delegato può scegliere la politica di configurazione consigliata da Security Hub CSPM o creare politiche di configurazione personalizzate. Con l'API Security Hub CSPM e AWS CLI, l'amministratore delegato può creare solo politiche di configurazione personalizzate. L'amministratore delegato può creare un massimo di 20 politiche di configurazione personalizzate.  
Nella politica di configurazione consigliata, Security Hub CSPM, lo standard AWS Foundational Security Best Practices (FSBP) e tutti i controlli FSBP esistenti e nuovi sono abilitati. I controlli che accettano i parametri utilizzano i valori predefiniti. La politica di configurazione consigliata si applica all'intera organizzazione.  
Per applicare impostazioni diverse all'organizzazione o applicare politiche di configurazione diverse a account diversi e OUs creare una politica di configurazione personalizzata.

**Configurazione locale**  
Il tipo di configurazione predefinito per un'organizzazione, dopo l'integrazione di Security Hub CSPM e. AWS Organizations Con la configurazione locale, l'amministratore delegato può scegliere di abilitare automaticamente Security Hub CSPM e [gli standard di sicurezza predefiniti](securityhub-auto-enabled-standards.md) nei *nuovi* account dell'organizzazione nella regione corrente. Se l'amministratore delegato abilita automaticamente gli standard predefiniti, tutti i controlli che fanno parte di questi standard vengono abilitati automaticamente anche con parametri predefiniti per i nuovi account dell'organizzazione. Queste impostazioni non si applicano agli account esistenti, quindi è possibile modificare la configurazione dopo che un account si unisce all'organizzazione. La disabilitazione di controlli specifici che fanno parte degli standard predefiniti e la configurazione di standard e controlli aggiuntivi devono essere eseguite separatamente in ogni account e regione.  
La configurazione locale non supporta l'uso di politiche di configurazione. Per utilizzare i criteri di configurazione, è necessario passare alla configurazione centrale.

**Gestione manuale degli account**  
Se non integri Security Hub CSPM AWS Organizations o disponi di un account autonomo, devi specificare le impostazioni per ciascun account separatamente in ciascuna regione. La gestione manuale degli account non supporta l'uso di politiche di configurazione.

**Configurazione centrale APIs**  
Operazioni CSPM di Security Hub che solo l'amministratore CSPM delegato di Security Hub CSPM di Security Hub CSPM può utilizzare nella regione di residenza per gestire le politiche di configurazione per gli account gestiti centralmente. Le operazioni includono:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Specifico per l'account APIs**  
Operazioni CSPM di Security Hub che possono essere utilizzate per abilitare o disabilitare CSPM, standard e controlli di Security Hub su base. account-by-account Queste operazioni vengono utilizzate in ogni singola regione.  
Gli account autogestiti possono utilizzare operazioni specifiche dell'account per configurare le proprie impostazioni. Gli account gestiti centralmente non possono utilizzare le seguenti operazioni specifiche dell'account nella regione di origine e nelle regioni collegate. In tali regioni, solo l'amministratore delegato può configurare gli account gestiti centralmente tramite operazioni di configurazione e politiche di configurazione centralizzate.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Per verificare lo stato dell'account, il proprietario di un account gestito centralmente *può* utilizzare `Get` qualsiasi `Describe` operazione dell'API CSPM Security Hub.  
Se si utilizza la configurazione locale o la gestione manuale degli account, anziché la configurazione centrale, è possibile utilizzare queste operazioni specifiche dell'account.  
Gli account autogestiti possono inoltre essere utilizzati e utilizzati`*Invitations`. `*Members` Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.

**Unità organizzativa (UO)**  
In AWS Organizations and Security Hub CSPM, un contenitore per un gruppo di. Account AWS Un'unità organizzativa (OU) può anche contenerne altre OUs, il che consente di creare una gerarchia simile a un albero capovolto, con un'unità organizzativa principale nella parte superiore e i rami della stessa che si estendono verso il basso, terminando con gli account OUs che sono le foglie dell'albero. Un'unità organizzativa può avere esattamente un genitore e ogni account dell'organizzazione può essere membro di una sola unità organizzativa.  
È possibile gestirlo OUs in AWS Organizations o AWS Control Tower. Per ulteriori informazioni, consulta [Gestire le unità organizzative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) nella *Guida per AWS Organizations l'utente* o [Gestire organizzazioni e account AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) nella *Guida per l'AWS Control Tower utente*.  
L'amministratore delegato può associare le politiche di configurazione a account specifici oppure OUs alla directory principale per coprire tutti gli account e OUs all'interno di un'organizzazione.

**Gestito centralmente**  
Un obiettivo che solo l'amministratore delegato può configurare in tutte le regioni utilizzando le politiche di configurazione.  
L'account amministratore delegato specifica se una destinazione è gestita centralmente. L'amministratore delegato può anche modificare lo stato di una destinazione da gestita centralmente a gestita automaticamente o viceversa.

**Autogestito**  
Una destinazione che gestisce le proprie impostazioni CSPM di Security Hub. Una destinazione autogestita utilizza operazioni specifiche dell'account per configurare Security Hub CSPM separatamente in ciascuna regione. Ciò è in contrasto con gli obiettivi gestiti centralmente, che sono configurabili solo dall'amministratore delegato in tutte le regioni tramite politiche di configurazione.  
L'account amministratore delegato specifica se una destinazione è gestita automaticamente. L'amministratore delegato può applicare un comportamento autogestito a una destinazione. In alternativa, un account o un'unità organizzativa può ereditare il comportamento autogestito da un genitore.  
L'account amministratore delegato può essere esso stesso un account autogestito. L'account amministratore delegato può modificare lo stato di una destinazione da autogestito a gestito centralmente o viceversa.  


**Associazione alla politica di configurazione**  
Un collegamento tra una politica di configurazione e un account, un'unità organizzativa (OU) o una radice. Quando esiste un'associazione di policy, l'account, l'unità organizzativa o la root utilizza le impostazioni definite dalla politica di configurazione. Esiste un'associazione in uno di questi casi:  
+ Quando l'amministratore delegato applica direttamente una politica di configurazione a un account, a un'unità organizzativa o a una cartella principale
+ Quando un account o un'unità organizzativa eredita una politica di configurazione da un'unità organizzativa principale o dalla directory principale
Un'associazione esiste fino a quando non viene applicata o ereditata una configurazione diversa.

**Politica di configurazione applicata**  
Un tipo di associazione di criteri di configurazione in cui l'amministratore delegato applica direttamente una politica di configurazione agli account di destinazione o alla directory principale. OUs Gli obiettivi sono configurati nel modo definito dalla politica di configurazione e solo l'amministratore delegato può modificarne la configurazione. Se applicata a root, la politica di configurazione influisce su tutti gli account e OUs nell'organizzazione che non utilizzano una configurazione diversa tramite l'applicazione o l'ereditarietà dal genitore più vicino.  
L'amministratore delegato può anche applicare una configurazione autogestita ad account specifici o alla directory principale OUs.

**Politica di configurazione ereditata**  
Un tipo di associazione di criteri di configurazione in cui un account o un'unità organizzativa adotta la configurazione dell'unità organizzativa principale o principale più vicina. Se un criterio di configurazione non viene applicato direttamente a un account o a un'unità organizzativa, eredita la configurazione dell'elemento principale più vicino. Tutti gli elementi di una policy vengono ereditati. In altre parole, un account o un'unità organizzativa non possono scegliere di ereditare selettivamente solo parti di una politica. Se il genitore più vicino è autogestito, l'account figlio o l'unità organizzativa eredita il comportamento autogestito del genitore.   
L'ereditarietà non può sovrascrivere una configurazione applicata. In altre parole, se un criterio di configurazione o una configurazione autogestita viene applicata direttamente a un account o a un'unità organizzativa, utilizza tale configurazione e non eredita la configurazione dell'unità principale.

**Root**  
In AWS Organizations and Security Hub CSPM, il nodo principale di primo livello di un'organizzazione. Se l'amministratore delegato applica una politica di configurazione a root, la politica viene associata a tutti gli account e all'interno dell'organizzazione OUs a meno che non utilizzino una politica diversa, tramite l'applicazione o l'ereditarietà, o non siano designati come autogestiti. Se l'amministratore definisce la directory principale come autogestita, tutti gli account e l'organizzazione vengono gestiti automaticamente, OUs a meno che non utilizzino una politica di configurazione tramite l'applicazione o l'ereditarietà. Se la directory principale è gestita automaticamente e al momento non esistono criteri di configurazione, tutti i nuovi account dell'organizzazione mantengono le impostazioni correnti.  
I nuovi account che entrano a far parte di un'organizzazione rientrano nella cartella principale finché non vengono assegnati a un'unità organizzativa specifica. Se un nuovo account non viene assegnato a un'unità organizzativa, eredita la configurazione principale a meno che l'amministratore delegato non lo designi come account autogestito.

# Abilitazione della configurazione centrale in Security Hub CSPM
<a name="start-central-configuration"></a>

L'account amministratore delegato AWS di Security Hub CSPM può utilizzare la configurazione centrale per configurare CSPM, standard e controlli di Security Hub per più account e unità organizzative () in tutto. OUs Regioni AWS

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)

Questa sezione spiega i prerequisiti per la configurazione centrale e come iniziare a utilizzarla.

## Prerequisiti per la configurazione centrale
<a name="prerequisites-central-configuration"></a>

Prima di poter iniziare a utilizzare la configurazione centrale, è necessario integrare Security Hub CSPM AWS Organizations e designare una regione di residenza. Se si utilizza la console Security Hub CSPM, questi prerequisiti sono inclusi nel flusso di lavoro di attivazione per la configurazione centrale.

### Integrazione con Organizations
<a name="orgs-integration-prereq"></a>

È necessario integrare Security Hub CSPM e Organizations per utilizzare la configurazione centrale.

Per integrare questi servizi, è necessario innanzitutto creare un'organizzazione in Organizations. Dall'account di gestione Organizations, si designa quindi un account amministratore delegato CSPM di Security Hub. Per istruzioni, consulta [Integrazione del Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

**Assicurati di designare l'amministratore delegato nella regione di residenza desiderata.** Quando inizi a utilizzare la configurazione centrale, lo stesso amministratore delegato viene impostato automaticamente anche in tutte le regioni collegate. L'account di gestione Organizations *non può* essere impostato come account amministratore delegato.

**Importante**  
Quando si utilizza la configurazione centrale, non è possibile utilizzare la console CSPM di Security Hub o il CSPM di Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione Organizations utilizza l'account di gestione AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub CSPM, Security Hub CSPM interrompe automaticamente la configurazione centrale. Inoltre, le policy di configurazione vengono dissociate ed eliminate. Gli account dei membri mantengono la configurazione che avevano prima della modifica o della rimozione dell'amministratore delegato.

### Designare una regione d'origine
<a name="home-region-prereq"></a>

È necessario designare una regione d'origine per utilizzare la configurazione centralizzata. La regione d'origine è la regione da cui l'amministratore delegato configura l'organizzazione.

**Nota**  
La regione d'origine non può essere una regione AWS designata come regione opt-in. Per impostazione predefinita, una regione che prevede l'attivazione è disattivata. Per un elenco delle regioni che hanno aderito, consulta [Considerazioni prima di abilitare e disabilitare le regioni](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) nella Guida di riferimento per la gestione degli *AWS account*.

Facoltativamente, puoi specificare una o più regioni collegate configurabili dalla regione di origine.

L'amministratore delegato può creare e gestire le politiche di configurazione solo dalla regione di origine. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che si applichi solo a un sottoinsieme di queste regioni e non ad altre. L'eccezione è rappresentata dai controlli che coinvolgono risorse globali. Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Per ulteriori informazioni, consulta [Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).

La regione di origine è anche la regione di aggregazione CSPM del Security Hub che riceve risultati, approfondimenti e altri dati dalle regioni collegate.

Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, questa è la regione principale predefinita per la configurazione centrale. Puoi modificare la regione di residenza prima di iniziare a utilizzare la configurazione centrale eliminando l'aggregatore di ricerca corrente e creandone uno nuovo nella regione di residenza desiderata. Un aggregatore di risultati è una risorsa CSPM di Security Hub che specifica la regione di origine e le regioni collegate.

Per designare una regione di origine, consulta i [passaggi per impostare una regione di aggregazione](finding-aggregation-enable.md). Se disponi già di una regione di residenza, puoi richiamare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API per visualizzarne i dettagli, incluse le regioni attualmente collegate.

## Istruzioni per abilitare la configurazione centrale
<a name="central-configuration-get-started"></a>

Scegliete il metodo preferito e seguite i passaggi per abilitare la configurazione centralizzata per la vostra organizzazione.

------
#### [ Security Hub CSPM console ]

**Per abilitare la configurazione centrale (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione, scegli **Impostazioni e configurazione**.** Quindi, scegli **Avvia configurazione centrale**.

   Se stai effettuando l'onboarding su Security Hub CSPM, scegli Vai a **Security Hub** CSPM.

1. Nella pagina **Designare un amministratore delegato, seleziona il tuo account di amministratore** delegato o inserisci l'ID dell'account. Se applicabile, ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri servizi di AWS sicurezza e conformità. Scegli **Imposta amministratore delegato.**

1. Nella pagina **Centralizza l'organizzazione**, nella sezione **Regioni**, seleziona la tua regione d'origine. Devi aver effettuato l'accesso alla regione d'origine per procedere. Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, viene visualizzata come regione principale. Per modificare la regione d'origine, scegli **Modifica** impostazioni della regione. Puoi quindi selezionare la tua regione d'origine preferita e tornare a questo flusso di lavoro.

1. Seleziona almeno una regione da collegare alla regione d'origine. Facoltativamente, scegli se collegare automaticamente le future regioni supportate alla regione d'origine. Le regioni selezionate qui saranno configurabili dalla regione d'origine dall'amministratore delegato. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.

1. Scegli **Conferma e continua**.

1.  Ora puoi usare la configurazione centrale. Continua a seguire le istruzioni della console per creare la tua prima politica di configurazione. Se non sei ancora pronto per creare una politica di configurazione, scegli **Non sono ancora pronto per la configurazione**. Puoi creare una politica in un secondo momento scegliendo **Impostazioni** e **configurazione** nel riquadro di navigazione. Per istruzioni sulla creazione di una politica di configurazione, consulta[Creazione e associazione di policy di configurazione](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Per abilitare la configurazione centrale (API)**

1. Utilizzando le credenziali dell'account amministratore delegato, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dalla regione di origine.

1. Imposta il campo su. `AutoEnable` `false`

1. Imposta il `ConfigurationType` campo nell'`OrganizationConfiguration`oggetto su`CENTRAL`. Questa azione ha il seguente impatto:
   + Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.
   + Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.
   + Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub CSPM abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.
   + Viene [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)impostato su `false` in tutte le regioni collegate e viene impostato [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)su `NONE` nella regione di origine e in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

1. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Esempio di richiesta API:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Per abilitare la configurazione centrale (AWS CLI)**

1. Utilizzando le credenziali dell'account amministratore delegato, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando dalla regione di origine.

1. Includere il parametro `no-auto-enable`.

1. Imposta il `ConfigurationType` campo nell'`organization-configuration`oggetto su. `CENTRAL` Questa azione ha il seguente impatto:
   + Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.
   + Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.
   + Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.
   + Imposta l'opzione di attivazione automatica su tutte le regioni collegate e imposta su [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)nella regione [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)di origine e `NONE` in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

1. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Comando di esempio:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Obiettivi gestiti centralmente e obiettivi autogestiti
<a name="central-configuration-management-type"></a>

*Quando si abilita la configurazione centrale, l'amministratore delegato di AWS Security Hub CSPM può designare ogni account dell'organizzazione, unità organizzativa (OU) e root come gestiti *centralmente* o autogestiti.* Il tipo di gestione di una destinazione determina come specificare le impostazioni CSPM del Security Hub.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)

Questa sezione spiega le differenze tra una designazione gestita centralmente e una autogestita e come scegliere il tipo di gestione di un account, di un'unità organizzativa o della directory principale.

**Autogestito**  
Il proprietario di un account, unità organizzativa o root autogestito deve configurarne le impostazioni separatamente in ciascuno di essi. Regione AWS L'amministratore delegato non può creare politiche di configurazione per obiettivi autogestiti.

**Gestito centralmente**  
Solo l'amministratore delegato di Security Hub CSPM può configurare le impostazioni per gli account gestiti centralmente o la directory principale nella regione di origine e nelle regioni collegate. OUs Le politiche di configurazione possono essere associate ad account gestiti centralmente e. OUs

L'amministratore delegato può cambiare lo stato di una destinazione tra gestione automatica e gestione centralizzata. Per impostazione predefinita, tutti gli account e l'unità organizzativa vengono gestiti automaticamente quando si avvia la configurazione centrale tramite l'API CSPM Security Hub. Nella console, il tipo di gestione dipende dalla prima politica di configurazione. Gli account e OUs quelli associati alla prima policy vengono gestiti centralmente. Gli altri account OUs sono gestiti automaticamente per impostazione predefinita.

Se si associa una politica di configurazione a un account precedentemente gestito in modo autonomo, le impostazioni dei criteri hanno la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.

Se si modifica un account gestito centralmente in un account autogestito, le impostazioni precedentemente applicate all'account tramite una politica di configurazione rimangono invariate. Ad esempio, un account gestito centralmente potrebbe inizialmente essere associato a una policy che abilitava Security Hub CSPM, abilitava AWS Foundational Security Best Practices e disabilitava .1. CloudTrail Se poi si designa l'account come autogestito, tutte le impostazioni rimangono invariate. Tuttavia, il proprietario dell'account può modificare autonomamente le impostazioni dell'account in futuro.

Gli account figlio OUs possono ereditare il comportamento autogestito da un genitore autogestito, allo stesso modo in cui gli account figlio OUs possono ereditare le politiche di configurazione da un genitore gestito centralmente. Per ulteriori informazioni, consulta [Associazione delle politiche tramite applicazione ed ereditarietà](configuration-policies-overview.md#policy-association).

Un account o un'unità organizzativa autogestiti non possono ereditare una politica di configurazione da un nodo principale o dalla radice. Ad esempio, se si desidera che tutti gli account e l'organizzazione OUs ereditino una politica di configurazione dalla radice, è necessario modificare il tipo di gestione dei nodi autogestiti in gestione centralizzata.

## Opzioni per configurare le impostazioni negli account autogestiti
<a name="self-managed-settings"></a>

Gli account autogestiti devono configurare le proprie impostazioni separatamente in ciascuna regione.

I proprietari di account autogestiti possono richiamare le seguenti operazioni dell'API CSPM Security Hub in ciascuna regione per configurare le proprie impostazioni:
+ `EnableSecurityHub`e `DisableSecurityHub` per abilitare o disabilitare il servizio CSPM di Security Hub (se un account autogestito ha un amministratore CSPM di Security Hub delegato, l'amministratore [deve dissociare](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) l'account prima che il proprietario dell'account possa disabilitare Security Hub CSPM).
+ `BatchEnableStandards`e `BatchDisableStandards` per abilitare o disabilitare gli standard
+ `BatchUpdateStandardsControlAssociations`o `UpdateStandardsControl` per abilitare o disabilitare i controlli

Gli account autogestiti possono inoltre essere utilizzati `*Invitations` e utilizzati`*Members`. Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.

Per le descrizioni delle azioni dell'API CSPM di Security Hub, vedere il riferimento all'API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Gli account autogestiti possono anche utilizzare la console Security Hub CSPM o AWS CLI configurarne le impostazioni in ciascuna regione.

Gli account autogestiti non possono richiamare i criteri di configurazione CSPM e le associazioni di policy APIs relativi ai criteri di configurazione CSPM di Security Hub. Solo l'amministratore delegato può richiamare la configurazione centrale APIs e utilizzare le politiche di configurazione per configurare account gestiti centralmente.

## Scelta del tipo di gestione di una destinazione
<a name="choose-management-type"></a>

Scegli il tuo metodo preferito e segui i passaggi per designare un account o un'unità organizzativa come gestito centralmente o autogestito in AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. Scegliere **Configuration (Configurazione)**.

1. Nella scheda **Organizzazione**, seleziona l'account o l'unità organizzativa di destinazione. Scegli **Modifica**.

1. Nella pagina **Definisci configurazione**, per **Tipo di gestione**, scegli **Gestito centralmente** se desideri che l'amministratore delegato configuri l'account o l'unità organizzativa di destinazione. Quindi, scegli **Applica una politica specifica** se desideri associare una politica di configurazione esistente alla destinazione. Scegli **Inherit from my organization** se desideri che il target erediti la configurazione del genitore più vicino. Scegli **Autogestito** se desideri che l'account o l'unità organizzativa configurino le proprie impostazioni.

1. Scegli **Next (Successivo)**. Controlla le modifiche e scegli **Salva**.

------
#### [ Security Hub CSPM API ]

**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per il `ConfigurationPolicyIdentifier` campo, specifica `SELF_MANAGED_SECURITY_HUB` se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della politica di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

1. Per il `Target` campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

**Esempio di richiesta API per designare un account autogestito:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**

1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per `configuration-policy-identifier` campo, specifica `SELF_MANAGED_SECURITY_HUB` se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della politica di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

1. Per il `target` campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

**Esempio di comando per designare un account autogestito:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Come funzionano le politiche di configurazione in Security Hub CSPM
<a name="configuration-policies-overview"></a>

L'amministratore delegato AWS di Security Hub CSPM può creare policy di configurazione per configurare Security Hub CSPM, standard di sicurezza e controlli di sicurezza per un'organizzazione. Dopo aver creato una politica di configurazione, l'amministratore delegato può associarla a account, unità organizzative () OUs o root specifici. La politica ha quindi effetto negli account specificati o nella cartella principale. OUs

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Questa sezione fornisce una panoramica dettagliata delle politiche di configurazione.

## Considerazioni sulle politiche
<a name="configuration-policies-considerations"></a>

Prima di creare una politica di configurazione in Security Hub CSPM, considera i seguenti dettagli.
+ **Le politiche di configurazione devono essere associate per avere effetto**: dopo aver creato una politica di configurazione, è possibile associarla a uno o più account, unità organizzative (OUs) o root. Una politica di configurazione può essere associata agli account o OUs tramite applicazione diretta o tramite ereditarietà da un'unità organizzativa principale.
+ **Un account o un'unità organizzativa possono essere associati a una sola politica di configurazione**: per evitare conflitti di impostazioni, un account o un'unità organizzativa può essere associato a una sola politica di configurazione alla volta. In alternativa, un account o un'unità organizzativa possono essere gestiti automaticamente.
+ **I criteri di configurazione sono completi**: i criteri di configurazione forniscono una specifica completa delle impostazioni. Ad esempio, un account figlio non può accettare impostazioni per alcuni controlli da un criterio e impostazioni per altri controlli da un altro criterio. Quando associ una politica a un account per bambini, assicurati che la politica specifichi tutte le impostazioni che desideri che l'account per bambini utilizzi.
+ I **criteri di configurazione non possono essere ripristinati**: non è possibile ripristinare un criterio di configurazione dopo averlo associato agli account o. OUs Ad esempio, se si associa una politica di configurazione che disabilita CloudWatch i controlli a un account specifico e poi si dissocia tale politica, i CloudWatch controlli continuano a essere disabilitati in quell'account. Per abilitare nuovamente CloudWatch i controlli, puoi associare l'account a una nuova politica che abilita i controlli. In alternativa, puoi modificare l'account rendendolo autogestito e abilitare ogni CloudWatch controllo nell'account.
+ I **criteri di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate**: i criteri di configurazione hanno effetto su tutti gli account associati nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che abbia effetto solo in alcune di queste regioni e non in altre. L'eccezione è rappresentata [dai controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine.

  Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. È necessario abilitare tale regione per un account prima che una politica di configurazione abbia effetto su tale account. L'account di gestione Organizations può abilitare le regioni opzionali per un account membro. Per istruzioni sull'attivazione delle regioni che richiedono l'iscrizione, consulta [Specificare quali possono essere utilizzate dal Regioni AWS tuo account nella Guida](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) di *riferimento per la gestione degli AWS account*.

  Se la tua politica configura un controllo che non è disponibile nella regione di origine o in una o più aree collegate, Security Hub CSPM salta la configurazione del controllo nelle regioni non disponibili ma applica la configurazione nelle regioni in cui il controllo è disponibile. Ti manca la copertura necessaria per un controllo che non è disponibile nella regione d'origine o in nessuna delle aree collegate.
+ **Le policy di configurazione sono risorse**: come risorsa, una policy di configurazione ha un Amazon Resource Name (ARN) e un identificatore univoco universale (UUID). L'ARN utilizza il seguente formato:. `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Una configurazione autogestita non ha ARN o UUID. L'identificatore per una configurazione autogestita è. `SELF_MANAGED_SECURITY_HUB`

## Tipi di politiche di configurazione
<a name="policy-types"></a>

Ogni politica di configurazione specifica le seguenti impostazioni:
+ Abilita o disabilita Security Hub CSPM.
+ Abilita uno o più standard di [sicurezza](standards-reference.md).
+ Indica quali [controlli di sicurezza](securityhub-controls-reference.md) sono abilitati negli standard abilitati. È possibile farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati.
+ Facoltativamente, [personalizza i parametri](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) per selezionare i controlli abilitati tra gli standard abilitati.

Le politiche di configurazione centralizzate non includono le impostazioni del AWS Config registratore. È necessario abilitare AWS Config e attivare separatamente la registrazione per le risorse richieste affinché Security Hub CSPM generi i risultati del controllo. Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.

Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.

Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).

### Politica di configurazione consigliata
<a name="recommended-policy"></a>

Quando si crea una politica di configurazione per la *prima volta nella console CSPM di Security Hub*, è possibile scegliere la politica consigliata da Security Hub CSPM.

La policy consigliata abilita Security Hub CSPM, lo standard AWS Foundational Security Best Practices (FSBP) e tutti i controlli FSBP esistenti e nuovi. I controlli che accettano i parametri utilizzano i valori predefiniti. La politica consigliata si applica a root (tutti gli account OUs, sia nuovi che esistenti). Dopo aver creato la politica consigliata per l'organizzazione, è possibile modificarla dall'account amministratore delegato. Ad esempio, puoi abilitare standard o controlli aggiuntivi o disabilitare controlli FSBP specifici. Per istruzioni sulla modifica di una politica di configurazione, consulta. [Aggiornamento delle politiche di configurazione](update-policy.md)

### Politica di configurazione personalizzata
<a name="custom-policy"></a>

Invece della politica consigliata, l'amministratore delegato può creare fino a 20 politiche di configurazione personalizzate. È possibile associare una singola politica personalizzata all'intera organizzazione o diverse politiche personalizzate a diversi account e OUs. Per una politica di configurazione personalizzata, è necessario specificare le impostazioni desiderate. Ad esempio, puoi creare una policy personalizzata che abiliti FSBP, il Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e tutti i controlli di tali standard tranne i controlli Amazon Redshift. Il livello di granularità utilizzato nelle politiche di configurazione personalizzate dipende dall'ambito di copertura di sicurezza previsto in tutta l'organizzazione.

**Nota**  
Non è possibile associare una politica di configurazione che disabiliti Security Hub CSPM all'account amministratore delegato. Tale politica può essere associata ad altri account ma ignora l'associazione con l'amministratore delegato. L'account amministratore delegato mantiene la configurazione corrente.

Dopo aver creato una politica di configurazione personalizzata, è possibile passare alla politica di configurazione consigliata aggiornando la politica di configurazione in modo che rifletta la configurazione consigliata. Tuttavia, non è possibile scegliere di creare la politica di configurazione consigliata nella console CSPM di Security Hub dopo la creazione della prima politica.

## Associazione delle politiche tramite applicazione ed ereditarietà
<a name="policy-association"></a>

Quando si attiva per la prima volta la configurazione centrale, l'organizzazione non ha associazioni e si comporta nello stesso modo in cui si comportava prima dell'opt-in. L'amministratore delegato può quindi stabilire associazioni tra una politica di configurazione o un comportamento e account autogestiti o la radice OUs. *Le associazioni possono essere stabilite tramite *applicazione o ereditarietà*.*

Dall'account amministratore delegato, è possibile applicare direttamente una politica di configurazione a un account, a un'unità organizzativa o alla radice. In alternativa, l'amministratore delegato può applicare direttamente una designazione autogestita a un account, a un'unità organizzativa o alla directory principale.

In assenza di un'applicazione diretta, un account o un'unità organizzativa eredita le impostazioni del genitore più vicino che ha una politica di configurazione o un comportamento autogestito. Se il genitore più vicino è associato a una politica di configurazione, il figlio eredita tale politica ed è configurabile solo dall'amministratore delegato della regione di origine. Se il genitore più prossimo è autogestito, il figlio eredita il comportamento autogestito e ha la possibilità di specificare le proprie impostazioni in ciascuno di essi. Regione AWS

L'applicazione ha la precedenza sull'ereditarietà. In altre parole, l'ereditarietà non sostituisce una politica di configurazione o una designazione autogestita che l'amministratore delegato ha applicato direttamente a un account o a un'unità organizzativa.

Se si applica direttamente un criterio di configurazione a un account autogestito, il criterio ha la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.

Si consiglia di applicare direttamente una politica di configurazione alla radice. Se applichi una policy alla root, i nuovi account che entrano a far parte dell'organizzazione erediteranno automaticamente la policy principale, a meno che non li associ a una politica diversa o non li definiate come autogestiti.

È possibile associare una sola politica di configurazione a un account o a un'unità organizzativa alla volta, tramite applicazione o ereditarietà. Questo è progettato per evitare conflitti di impostazioni.

Il diagramma seguente illustra come funzionano l'applicazione delle politiche e l'ereditarietà nella configurazione centrale.

![\[Applicazione ed eredità delle politiche di configurazione CSPM di Security Hub\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


In questo esempio, a un nodo evidenziato in verde è stata applicata una politica di configurazione. A un nodo evidenziato in blu non è stata applicata alcuna politica di configurazione. Un nodo evidenziato in giallo è stato designato come autogestito. Ogni account e unità organizzativa utilizza la seguente configurazione:
+ **OU:Root (verde)**: questa unità organizzativa utilizza la politica di configurazione che le è stata applicata.
+ **ou:Prod (blu)** — Questa unità organizzativa eredita la politica di configurazione da OU:Root.
+ **ou:Applications (verde)** — Questa unità organizzativa utilizza la politica di configurazione che le è stata applicata.
+ **Account 1 (verde)**: questo account utilizza la politica di configurazione che gli è stata applicata.
+ **Account 2 (blu)**: questo account eredita la politica di configurazione da OU:Applications.
+ **ou:Dev (giallo)** — Questa unità organizzativa è gestita automaticamente.
+ **Account 3 (verde)**: questo account utilizza la politica di configurazione che gli è stata applicata.
+ **Account 4 (blu)**: questo account eredita il comportamento autogestito da OU:Dev.
+ **ou:Test (Blue)** — Questo account eredita la politica di configurazione da ou:Root.
+ **Account 5 (blu)**: questo account eredita la politica di configurazione da OU:Root poiché il suo genitore immediato, ou:Test, non è associato a una politica di configurazione.

## Test di una politica di configurazione
<a name="test-policy"></a>

Per assicurarti di comprendere come funzionano le politiche di configurazione, ti consigliamo di creare una policy e di associarla a un account di prova o a un'unità organizzativa.

**Per testare una politica di configurazione**

1. Crea una politica di configurazione personalizzata e verifica che le impostazioni specificate per l'abilitazione, gli standard e i controlli di Security Hub CSPM siano corretti. Per istruzioni, consulta [Creazione e associazione di policy di configurazione](create-associate-policy.md).

1. Applica la politica di configurazione a un account di prova o a un'unità organizzativa che non dispone di account secondari o. OUs

1. Verifica che l'account di test o l'unità organizzativa utilizzi la politica di configurazione nel modo previsto nella tua regione di origine e in tutte le regioni collegate. Puoi anche verificare che tutti gli altri account e OUs membri della tua organizzazione rimangano autogestiti e puoi modificare le proprie impostazioni in ogni regione.

Dopo aver testato una politica di configurazione in un singolo account o unità organizzativa, puoi associarla ad altri account e OUs.

# Creazione e associazione di policy di configurazione
<a name="create-associate-policy"></a>

L'account amministratore delegato AWS di Security Hub CSPM può creare policy di configurazione che specificano come il CSPM, gli standard e i controlli di Security Hub sono configurati in account e unità organizzative specifici (). OUs Una politica di configurazione ha effetto solo dopo che l'amministratore delegato la associa ad almeno un account o unità organizzativa () o alla radice. OUs L'amministratore delegato può anche associare una configurazione autogestita agli account o alla directory principale OUs.

Se è la prima volta che crei una politica di configurazione, ti consigliamo di esaminarla prima. [Come funzionano le politiche di configurazione in Security Hub CSPM](configuration-policies-overview.md)

Scegliete il metodo di accesso preferito e seguite i passaggi per creare e associare una policy di configurazione o una configurazione autogestita. Quando si utilizza la console Security Hub CSPM, è possibile associare una configurazione a più account o OUs contemporaneamente. Quando si utilizza l'API CSPM di Security Hub AWS CLI, è possibile associare una configurazione a un solo account o unità organizzativa in ogni richiesta.

**Nota**  
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.  
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.  
Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Per creare e associare politiche di configurazione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. **Nel riquadro di navigazione, scegli **Configurazione** e la scheda Politiche.** Quindi, scegli **Crea politica**.

1. Nella pagina **Configura organizzazione**, se è la prima volta che crei una politica di configurazione, vedi tre opzioni in **Tipo di configurazione**. Se hai già creato almeno una politica di configurazione, vedi solo l'opzione **Politica personalizzata**.
   + Scegli **Usa la configurazione CSPM AWS consigliata di Security Hub in tutta la mia organizzazione** per utilizzare la nostra politica consigliata. La politica consigliata abilita Security Hub CSPM in tutti gli account dell'organizzazione, abilita lo standard AWS Foundational Security Best Practices (FSBP) e abilita tutti i controlli FSBP nuovi ed esistenti. I controlli utilizzano i valori dei parametri predefiniti.
   + Scegli **Non sono ancora pronto a configurare per** creare una politica di configurazione in un secondo momento.
   + Scegli **Politica personalizzata** per creare una politica di configurazione personalizzata. Specificare se abilitare o disabilitare Security Hub CSPM, quali standard abilitare e quali controlli abilitare in base a tali standard. Facoltativamente, specifica [i valori dei parametri personalizzati](custom-control-parameters.md) per uno o più controlli abilitati che supportano i parametri personalizzati.

1. Nella sezione **Account**, scegli a quali account di destinazione o la directory principale a cui desideri applicare la politica di configurazione. OUs
   + Scegli **Tutti gli account** se desideri applicare la politica di configurazione alla radice. Ciò include tutti gli account e l'organizzazione OUs a cui non è stata applicata o ereditata un'altra politica.
   + Scegli **Account specifici** se desideri applicare la politica di configurazione a account specifici o OUs. Inserisci l'account IDs o seleziona gli account OUs dalla struttura dell'organizzazione. È possibile applicare la politica a un massimo di 15 destinazioni (account o root) al momento della creazione. OUs Per specificare un numero maggiore, modifica la policy dopo la creazione e applicala a obiettivi aggiuntivi.
   + Scegli **Solo l'amministratore delegato** per applicare la politica di configurazione all'account amministratore delegato corrente.

1. Scegli **Next (Successivo)**.

1. Nella pagina **Rivedi e applica**, esamina i dettagli della politica di configurazione. Quindi, scegli **Crea politica e applica**. Nella tua regione d'origine e nelle aree collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati alla politica di configurazione tramite l'applicazione o l'ereditarietà da un nodo principale. Gli account secondari e le destinazioni applicate erediteranno automaticamente questa politica OUs di configurazione a meno che non vengano specificamente esclusi, gestiti automaticamente o utilizzino una politica di configurazione diversa.

------
#### [ Security Hub CSPM API ]

**Per creare e associare politiche di configurazione**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per`Name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`Description`, fornisci una descrizione della politica di configurazione.

1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione.

1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione.

1. Per l'`SecurityControlsConfiguration`oggetto, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).

1. Per applicare la politica di configurazione agli account oppure OUs, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'Amazon Resource Name (ARN) o l'identificatore univoco universale (UUID) della politica. L'ARN e l'UUID vengono restituiti dall'API. `CreateConfigurationPolicy` Per una configurazione autogestita, il `ConfigurationPolicyIdentifier` campo è uguale a. `SELF_MANAGED_SECURITY_HUB`

1. Per il `Target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo in ogni richiesta API. Gli account secondari e OUs della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non vengano gestiti autonomamente o utilizzino una politica di configurazione diversa.

**Esempio di richiesta API per creare una politica di configurazione:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Esempio di richiesta API per associare una politica di configurazione:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Per creare e associare politiche di configurazione**

1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per`name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`description`, fornisci una descrizione della politica di configurazione.

1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione.

1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione.

1. Per il `SecurityControlsConfiguration` campo, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che si applicano agli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).

1. Per applicare la politica di configurazione agli account oppure OUs, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per il `configuration-policy-identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione. L'ARN e l'ID vengono restituiti dal `create-configuration-policy` comando.

1. Per il `target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo ogni volta che si esegue il comando. I figli della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non si gestiscano autonomamente o utilizzino una politica di configurazione diversa.

**Comando di esempio per creare una politica di configurazione:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Comando di esempio per associare una politica di configurazione:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).

# Revisione dello stato e dei dettagli delle politiche di configurazione
<a name="view-policy"></a>

L'amministratore delegato AWS di Security Hub CSPM può visualizzare le politiche di configurazione per un'organizzazione e i relativi dettagli. Ciò include gli account e le unità organizzative (OUs) a cui è associata una politica.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Scegliete il metodo preferito e seguite i passaggi per visualizzare le vostre politiche di configurazione.

------
#### [ Security Hub CSPM console ]

**Per visualizzare le politiche di configurazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegli la scheda **Politiche** per una panoramica delle tue politiche di configurazione.

1. Seleziona una politica di configurazione e scegli **Visualizza dettagli per visualizzare** ulteriori dettagli al riguardo, inclusi gli account a cui OUs è associata.

------
#### [ Security Hub CSPM API ]

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) L'account amministratore delegato di Security Hub CSPM deve richiamare l'operazione nella regione di origine.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Per visualizzare i dettagli su una politica di configurazione specifica, usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e le relative associazioni di account, utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operazione. Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Per visualizzare le associazioni per un account specifico, utilizzare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operazione. Se si utilizza il AWS CLI, eseguire il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Per`target`, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisione dello stato di associazione di una politica di configurazione
<a name="configuration-association-status"></a>

Le seguenti operazioni API di configurazione centrale restituiscono un campo chiamato`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.

Il valore di `AssociationStatus` indica se un'associazione di policy è in sospeso o in stato di successo o di fallimento per un account specifico. La modifica dello stato da a `SUCCESS` o `FAILED` può richiedere fino a 24 ore. `PENDING` Uno stato di `SUCCESS` indica che tutte le impostazioni specificate nella politica di configurazione sono associate all'account. Lo stato di `FAILED` indica che una o più impostazioni specificate nella politica di configurazione non sono state associate all'account. Nonostante `FAILED` lo stato, l'account potrebbe essere parzialmente configurato in base alla politica. Ad esempio, potresti provare ad associare un account a una politica di configurazione che abiliti Security Hub CSPM, abiliti AWS Foundational Security Best Practices e disabiliti .1. CloudTrail Le due impostazioni iniziali potrebbero avere esito positivo, ma l'impostazione .1 potrebbe fallire CloudTrail. In questo esempio, lo stato dell'associazione è valido `FAILED` anche se alcune impostazioni sono state configurate correttamente.

Lo stato di associazione di un'unità organizzativa principale o della radice dipende dallo stato dei relativi figli. Se lo status di associazione di tutti i figli è`SUCCESS`, lo stato dell'associazione del genitore è`SUCCESS`. Se lo status dell'associazione di uno o più figli è`FAILED`, lo stato dell'associazione del genitore è`FAILED`.

Il valore di `AssociationStatus` dipende dallo status di associazione della politica in tutte le regioni pertinenti. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di `AssociationStatus` è`SUCCESS`. Se l'associazione fallisce in una o più di queste regioni, il valore di `AssociationStatus` è`FAILED`.

Il seguente comportamento influisce anche sul valore di`AssociationStatus`:
+ Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato `AssociationStatus` of `SUCCESS` o `FAILED` solo quando tutti i figli hanno uno `FAILED` stato `SUCCESS` or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta l'account principale a una configurazione, la modifica non aggiorna lo stato di associazione dell'unità principale a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.
+ Se la destinazione è un account, ha un `AssociationStatus` `SUCCESS` o o `FAILED` solo se l'associazione ha un risultato nella regione d'`SUCCESS`origine e `FAILED` in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.

Se aggiungi una nuova regione collegata, Security Hub CSPM replica le associazioni esistenti che si trovano in una `PENDING` o in `FAILED` uno stato della nuova regione. `SUCCESS`

Anche quando lo status di associazione è lo`SUCCESS`, lo stato di abilitazione di uno standard che fa parte della politica può passare a uno stato incompleto. In tal caso, Security Hub CSPM non può generare risultati per i controlli dello standard. Per ulteriori informazioni, consulta [Verifica dello stato di uno standard](enable-standards.md#standard-subscription-status).

## Risoluzione dei problemi di associazione
<a name="failed-association-reasons"></a>

In AWS Security Hub CSPM, un'associazione di criteri di configurazione potrebbe fallire per i seguenti motivi comuni.
+ L'**account di gestione Organizations non è un membro**: se desideri associare una policy di configurazione all'account di gestione Organizations, tale account deve già avere AWS Security Hub CSPM abilitato. Questo rende l'account di gestione un account membro dell'organizzazione.
+ **AWS Config non è abilitato o configurato correttamente**: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.
+ **Deve essere associata da un account amministratore delegato**: puoi associare una policy solo agli account di destinazione e OUs quando hai effettuato l'accesso all'account amministratore CSPM di Security Hub delegato.
+ **È necessario associare una politica dalla propria regione d'origine**: puoi associare una politica solo agli account target e OUs quando hai effettuato l'accesso alla tua regione d'origine.
+ **Regione di attivazione non abilitata**: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.
+ **Account membro sospeso**: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.

# Aggiornamento delle politiche di configurazione
<a name="update-policy"></a>

Dopo aver creato una politica di configurazione, l'account amministratore CSPM AWS di Security Hub delegato può aggiornare i dettagli e le associazioni delle politiche. Quando i dettagli della politica vengono aggiornati, gli account associati alla politica di configurazione iniziano automaticamente a utilizzare la politica aggiornata.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

L'amministratore delegato può aggiornare le seguenti impostazioni dei criteri:
+ Abilita o disabilita Security Hub CSPM.
+ Abilita uno o più standard di [sicurezza](standards-reference.md).
+ Indica quali [controlli di sicurezza](securityhub-controls-reference.md) sono abilitati tra gli standard abilitati. È possibile farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati.
+ Facoltativamente, [personalizza i parametri](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) per selezionare i controlli abilitati tra gli standard abilitati.

Scegli il tuo metodo preferito e segui i passaggi per aggiornare una politica di configurazione.

**Nota**  
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.  
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.  
Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Per aggiornare le politiche di configurazione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegliere la scheda **Policy**.

1. Seleziona la politica di configurazione che desideri modificare e scegli **Modifica**. Se lo desideri, modifica le impostazioni dei criteri. Lasciate questa sezione così com'è se desiderate mantenere invariate le impostazioni dei criteri.

1. Scegliete **Avanti**. Se lo desiderate, modificate le associazioni di policy. Lasciate questa sezione così com'è se desiderate mantenere invariate le associazioni di politiche. Puoi associare o dissociare la policy con un massimo di 15 obiettivi (account o root) quando la aggiorni. OUs 

1. Scegli **Next (Successivo)**.

1. Controlla le modifiche e scegli **Salva e applica**. Nella tua regione d'origine e nelle regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati a una politica di configurazione tramite l'applicazione o ereditati da un nodo principale.

------
#### [ API ]

**Per aggiornare le politiche di configurazione**

1. Per aggiornare le impostazioni in una politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza.

1. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare. 

1. Fornisci valori aggiornati per i campi `ConfigurationPolicy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.

1. Per aggiungere nuove associazioni per questa politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza. Per rimuovere una o più associazioni correnti, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni.

1. Per il `Target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs .

**Nota**  
Quando si richiama l'`UpdateConfigurationPolicy`API, Security Hub CSPM esegue una sostituzione completa dell'elenco per i campi`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e. `SecurityControlCustomParameters` Ogni volta che richiami questa API, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli che desideri abilitare o disabilitare e per cui personalizzare i parametri.

**Esempio di richiesta API per aggiornare una politica di configurazione:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Per aggiornare le politiche di configurazione**

1. Per aggiornare le impostazioni in una politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di residenza.

1.  Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

1. Fornisci valori aggiornati per i campi `configuration-policy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.

1. Per aggiungere nuove associazioni per questa politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza. Per rimuovere una o più associazioni correnti, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza.

1. Per il `configuration-policy-identifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni.

1. Per il `target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs .

**Nota**  
Quando si esegue il `update-configuration-policy` comando, Security Hub CSPM esegue una sostituzione completa dell'elenco per i `EnabledStandardIdentifiers` campi, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e`SecurityControlCustomParameters`. Ogni volta che esegui questo comando, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli per cui desideri abilitare o disabilitare e personalizzare i parametri.

**Comando di esempio per aggiornare una politica di configurazione:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).

# Eliminazione dei criteri di configurazione
<a name="delete-policy"></a>

Dopo aver creato una politica di configurazione, l'amministratore CSPM AWS di Security Hub delegato può eliminarla. In alternativa, l'amministratore delegato può mantenere la politica, ma dissociarla da account o unità organizzative specifici (OUs) o dalla radice. Per istruzioni sulla dissociazione di una politica, vedere. [Dissociazione di una configurazione dai suoi obiettivi](disassociate-policy.md)

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)

Questa sezione spiega come eliminare i criteri di configurazione.

Quando si elimina una politica di configurazione, questa non esiste più per l'organizzazione. Gli account di destinazione e la directory principale dell'organizzazione non possono più utilizzare la politica di configurazione. OUs Le destinazioni associate a una politica di configurazione eliminata ereditano la politica di configurazione del genitore più vicino o vengono gestite automaticamente se il genitore più vicino viene gestito automaticamente. Se si desidera che una destinazione utilizzi una configurazione diversa, è possibile associare la destinazione a una nuova politica di configurazione. Per ulteriori informazioni, consulta [Creazione e associazione di policy di configurazione](create-associate-policy.md).

Ti consigliamo di creare e associare almeno una politica di configurazione alla tua organizzazione per fornire una copertura di sicurezza adeguata.

Prima di poter eliminare una politica di configurazione, è necessario dissociarla da qualsiasi account o dalla directory principale a cui si applica attualmente. OUs

Scegliete il metodo preferito e seguite i passaggi per eliminare una politica di configurazione.

------
#### [ Console ]

**Come eliminare una policy di configurazione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegliere la scheda **Policy**. Seleziona la politica di configurazione che desideri eliminare e scegli **Elimina**. Se la politica di configurazione è ancora associata a qualsiasi account oppure OUs, ti viene richiesto di dissociare la politica da tali obiettivi prima di poterla eliminare.

1. Controlla il messaggio di conferma. Inserisci **confirm** e scegli **Elimina**.

------
#### [ API ]

**Come eliminare una policy di configurazione**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri eliminare. Se ricevi un `ConflictException` errore, la politica di configurazione si applica ancora agli account o OUs all'interno della tua organizzazione. Per risolvere l'errore, dissocia la politica di configurazione da questi account o OUs prima di provare a eliminarla.

**Esempio di richiesta API per eliminare una politica di configurazione:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Come eliminare una policy di configurazione**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

 Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri eliminare. Se ricevi un `ConflictException` errore, la politica di configurazione si applica ancora agli account o OUs all'interno della tua organizzazione. Per risolvere l'errore, dissocia la politica di configurazione da questi account o OUs prima di provare a eliminarla.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Dissociazione di una configurazione dai suoi obiettivi
<a name="disassociate-policy"></a>

Dall'account amministratore delegato AWS di Security Hub CSPM, è possibile dissociare una politica di configurazione o una configurazione autogestita da un account, un'unità organizzativa o una radice. La disassociazione mantiene la politica per usi futuri, ma rimuove le associazioni esistenti da account specifici o dalla radice. È possibile dissociare solo una configurazione applicata direttamente OUs, non una configurazione ereditata. Per modificare una configurazione ereditata, è possibile applicare una politica di configurazione o un comportamento autogestito all'account o all'unità organizzativa interessati. È inoltre possibile applicare una nuova politica di configurazione, che include le modifiche desiderate, al genitore più vicino.

La disassociazione *non* elimina una politica di configurazione. La politica viene mantenuta nel tuo account, quindi puoi associarla ad altri obiettivi della tua organizzazione. Per istruzioni sull'eliminazione di una politica di configurazione, consulta. [Eliminazione dei criteri di configurazione](delete-policy.md) Una volta completata la dissociazione, l'obiettivo interessato eredita la politica di configurazione o il comportamento autogestito del genitore più vicino. Se non esiste una configurazione ereditabile, una destinazione mantiene le impostazioni che aveva prima della disassociazione ma viene gestita automaticamente.

Scegli il metodo preferito e segui i passaggi per dissociare un account, un'unità organizzativa o un utente root dalla configurazione corrente.

------
#### [ Console ]

**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Nella scheda **Organizations**, seleziona l'account, l'unità organizzativa o la radice che desideri dissociare dalla configurazione corrente. Scegli **Modifica**.

1. Nella pagina **Definisci configurazione**, per **Gestione**, scegli **Politica applicata** se desideri che l'amministratore delegato sia in grado di applicare le politiche direttamente alla destinazione. Scegli **Inherited** se desideri che la destinazione erediti la configurazione del suo elemento principale più vicino. In entrambi i casi, l'amministratore delegato controlla le impostazioni per la destinazione. Scegli **Autogestito** se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni.

1. Dopo aver esaminato le modifiche, scegli **Avanti** e **Applica**. Questa azione sostituisce le configurazioni esistenti di qualsiasi account o OUs che rientrano nell'ambito, se tali configurazioni sono in conflitto con le selezioni correnti.

------
#### [ API ]

**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1.  Per`ConfigurationPolicyIdentifier`, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo `SELF_MANAGED_SECURITY_HUB` per dissociare il comportamento autogestito.

1.  Per`Target`, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs

**Esempio di richiesta API per dissociare una politica di configurazione:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**

1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

1.  Per`configuration-policy-identifier`, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo `SELF_MANAGED_SECURITY_HUB` per dissociare il comportamento autogestito.

1.  Per`target`, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs

**Esempio di comando per dissociare una politica di configurazione:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Configurazione di uno standard o di un controllo nel contesto
<a name="central-configuration-in-context"></a>

Quando si utilizza la [configurazione centrale](central-configuration-intro.md) in AWS Security Hub CSPM, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione che specificano in che modo Security Hub CSPM, gli standard di sicurezza e i controlli di sicurezza sono configurati per un'organizzazione. L'amministratore delegato può associare le politiche a account e unità organizzative (OU) specifici. Le politiche hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può aggiornare le politiche di configurazione se necessario.

Nella console Security Hub CSPM, l'amministratore delegato può aggiornare i criteri di configurazione in due modi: dalla pagina **Configurazione** o nel contesto dei flussi di lavoro esistenti. Quest'ultima opzione può essere utile perché, man mano che si visualizzano i risultati di sicurezza, è possibile scoprire quali standard e controlli sono più pertinenti per il proprio ambiente e configurarli allo stesso tempo.

La configurazione contestuale è disponibile solo sulla console CSPM di Security Hub. A livello di codice, l'amministratore delegato deve richiamare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)funzionamento dell'API CSPM Security Hub per modificare il modo in cui gli standard o i controlli specifici sono configurati nell'organizzazione.

Segui questi passaggi per configurare uno standard o un controllo CSPM di Security Hub nel contesto.

**Per configurare uno standard o un controllo nel contesto (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. Nel riquadro di navigazione, scegli una delle seguenti opzioni:
   + Per configurare uno standard, scegli **Standard di sicurezza** e scegli uno standard specifico.
   + Per configurare un controllo, scegli **Controlli** e scegli un controllo specifico.

1. La console elenca le politiche di configurazione CSPM di Security Hub esistenti e lo stato dello standard o del controllo selezionato in ciascuna di esse. Scegli le opzioni per abilitare o disabilitare lo standard o il controllo in ogni politica di configurazione esistente. Per quanto riguarda i controlli, puoi anche scegliere di personalizzare [i parametri di controllo](custom-control-parameters.md). Non è possibile creare una nuova politica durante la configurazione contestuale. Per creare una nuova politica, devi andare alla pagina **Configurazione**, scegliere la scheda **Politiche**, quindi scegliere **Crea politica**.

1. Dopo aver apportato le modifiche, scegli **Avanti**.

1. Controlla le modifiche e scegli **Applica**. Gli aggiornamenti riguardano tutti gli account e OUs sono associati a una politica di configurazione modificata. Gli aggiornamenti hanno effetto anche nella regione di origine e in tutte le regioni collegate.

# Disabilitazione della configurazione centrale in Security Hub CSPM
<a name="stop-central-configuration"></a>

Quando si disabilita la configurazione centrale in AWS Security Hub CSPM, l'amministratore delegato perde la possibilità di configurare Security Hub CSPM, gli standard di sicurezza e i controlli di sicurezza su più Account AWS unità organizzative () e. OUs Regioni AWSÈ invece necessario configurare la maggior parte delle impostazioni separatamente per ogni account in ogni regione.

**Importante**  
Prima di poter disattivare la configurazione centrale, devi innanzitutto [dissociare gli account e OUs](disassociate-policy.md) la loro configurazione attuale, che si tratti di una politica di configurazione o di un comportamento autogestito.  
Prima di poter disabilitare la configurazione centrale, è necessario [eliminare anche le politiche di configurazione esistenti](delete-policy.md).

Quando si disabilita la configurazione centrale, si verificano le seguenti modifiche:
+ L'amministratore delegato non può più creare politiche di configurazione per l'organizzazione.
+ Gli account a cui era stata applicata o ereditata una politica di configurazione mantengono le impostazioni correnti, ma si gestiscono automaticamente.
+ *L'organizzazione passa alla configurazione locale.* Nella configurazione locale, la maggior parte delle impostazioni CSPM di Security Hub deve essere configurata separatamente in ogni account e regione dell'organizzazione. L'amministratore delegato può scegliere di abilitare automaticamente Security Hub CSPM, [gli standard di sicurezza predefiniti](securityhub-auto-enabled-standards.md) e tutti i controlli che fanno parte degli standard predefiniti nei nuovi account dell'organizzazione. Gli standard predefiniti sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Queste impostazioni hanno effetto solo nella regione corrente e influiscono solo sui nuovi account dell'organizzazione. L'amministratore delegato non può modificare gli standard predefiniti. La configurazione locale non supporta l'uso di politiche di configurazione o la configurazione a livello di unità organizzativa.

L'identità dell'account amministratore delegato rimane la stessa quando si smette di utilizzare la configurazione centrale. Anche la regione d'origine e le regioni collegate rimangono invariate (la regione d'origine è ora denominata regione di aggregazione e può essere utilizzata per trovare aggregazioni).

Scegli il tuo metodo preferito e segui i passaggi per smettere di usare la configurazione centrale e passare alla configurazione locale.

------
#### [ Security Hub CSPM console ]

**Per disabilitare la configurazione centrale (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel pannello di navigazione, scegli Impostazioni e configurazione.****

1. Nella sezione **Panoramica**, scegli **Modifica**.

1. Nella casella **Modifica configurazione dell'organizzazione**, scegli **Configurazione locale**. Se non l'hai già fatto, ti viene richiesto di annullare l'associazione ed eliminare le politiche di configurazione correnti prima di poter interrompere la configurazione centrale. Gli account o OUs quelli designati come autogestiti devono essere dissociati dalla relativa configurazione autogestita. È possibile eseguire questa operazione nella console [modificando il tipo di gestione](central-configuration-management-type.md#choose-management-type) di ogni account o unità organizzativa autogestito in Gestito **centralmente e **eredita**** dalla mia organizzazione.

1. Facoltativamente, selezionare le impostazioni predefinite di configurazione locale per i nuovi account dell'organizzazione.

1. Scegli **Conferma**.

------
#### [ Security Hub CSPM API ]

**Per disabilitare la configurazione centrale (API)**

1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.

1. Imposta il `ConfigurationType` campo nell'`OrganizationConfiguration`oggetto su. `LOCAL` L'API restituisce un errore se sono presenti politiche di configurazione o associazioni di politiche esistenti. Per dissociare una politica di configurazione, richiama l'`StartConfigurationPolicyDisassociation`API. Per eliminare una politica di configurazione, richiama l'API. `DeleteConfigurationPolicy`

1. Se desideri abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione, imposta il `AutoEnable` campo su. `true` Per impostazione predefinita, il valore di questo campo è `false` e Security Hub CSPM non viene abilitato automaticamente nei nuovi account dell'organizzazione. Facoltativamente, se desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `AutoEnableStandards` campo su. `DEFAULT` Questo è il valore predefinito. Se non desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `AutoEnableStandards` campo su`NONE`.

**Esempio di richiesta API:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Per disabilitare la configurazione centrale (AWS CLI)**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Imposta il `ConfigurationType` campo nell'`organization-configuration`oggetto su`LOCAL`. Il comando restituisce un errore se sono presenti criteri di configurazione o associazioni di criteri esistenti. Per dissociare una politica di configurazione, esegui il `start-configuration-policy-disassociation` comando. Per eliminare una politica di configurazione, esegui il `delete-configuration-policy` comando.

1. Se desideri abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione, includi il `auto-enable` parametro. Per impostazione predefinita, il valore di questo parametro è `no-auto-enable` e Security Hub CSPM non viene abilitato automaticamente nei nuovi account dell'organizzazione. Facoltativamente, se desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `auto-enable-standards` campo su. `DEFAULT` Questo è il valore predefinito. Se non desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `auto-enable-standards` campo su`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Gestione degli account di amministratore e membro in Security Hub CSPM
<a name="securityhub-accounts"></a>

Se il tuo AWS ambiente ha più account, puoi trattare gli account che utilizzano AWS Security Hub CSPM come account membro e associarli a un singolo account amministratore. L'amministratore può monitorare il livello di sicurezza generale dell'utente e intraprendere [le azioni consentite](securityhub-accounts-allowed-actions.md) sugli account dei membri. L'amministratore può anche eseguire diverse attività di gestione e amministrazione degli account su larga scala, come il monitoraggio dei costi di utilizzo stimati e la valutazione delle quote degli account.

È possibile associare gli account dei membri a un amministratore in due modi: integrando Security Hub CSPM AWS Organizations o inviando e accettando manualmente gli inviti di iscrizione in Security Hub CSPM.

## Gestione degli account con AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations è un servizio globale di gestione degli account che consente AWS agli amministratori di consolidare e gestire più account. Account AWS Fornisce funzionalità di gestione degli account e fatturazione consolidata progettate per supportare le esigenze di budget, sicurezza e conformità. È offerto senza costi aggiuntivi e si integra con più sistemi Servizi AWS, tra cui AWS Security Hub CSPM, Amazon Macie e Amazon. GuardDuty Per ulteriori informazioni, consulta la [Guida per l'utente *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Quando si integra Security Hub CSPM e AWS Organizations, l'account di gestione Organizations designa un amministratore delegato CSPM di Security Hub. Security Hub CSPM viene abilitato automaticamente nell'account amministratore delegato Regione AWS in cui è stato designato.

[Dopo aver designato un amministratore delegato, consigliamo di gestire gli account in Security Hub CSPM con configurazione centrale.](central-configuration-intro.md) Questo è il modo più efficiente per personalizzare Security Hub CSPM e garantire un'adeguata copertura di sicurezza per l'organizzazione.

La configurazione centrale consente all'amministratore delegato di personalizzare Security Hub CSPM su più account e regioni dell'organizzazione anziché eseguire la configurazione. Region-by-Region È possibile creare una politica di configurazione per l'intera organizzazione o creare politiche di configurazione diverse per account diversi e. OUs Le politiche specificano se Security Hub CSPM è abilitato o disabilitato negli account associati e quali standard e controlli di sicurezza sono abilitati.

L'amministratore delegato può designare gli account come gestiti centralmente o autogestiti. Gli account gestiti centralmente sono configurabili solo dall'amministratore delegato. Gli account autogestiti possono specificare le proprie impostazioni.

*Se non si attiva la configurazione centrale, l'amministratore delegato ha una capacità più limitata di configurare Security Hub CSPM, chiamata configurazione locale.* Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e [gli standard di sicurezza predefiniti](securityhub-auto-enabled-standards.md) nei nuovi account dell'organizzazione nella regione corrente. Tuttavia, gli account esistenti non utilizzano queste impostazioni, quindi è possibile che si verifichi una variazione della configurazione dopo che un account si unisce all'organizzazione.

Oltre a queste nuove impostazioni dell'account, la configurazione locale è specifica dell'account e della regione. Ogni account dell'organizzazione deve configurare il servizio, gli standard e i controlli CSPM di Security Hub separatamente in ciascuna regione. La configurazione locale inoltre non supporta l'uso di politiche di configurazione.

## Gestione manuale degli account tramite invito
<a name="securityhub-manual-account-management-overview"></a>

È necessario gestire manualmente gli account dei membri su invito in Security Hub CSPM se si dispone di un account autonomo o se non si integra con Organizations. Un account autonomo non può integrarsi con Organizations, quindi è necessario gestirlo manualmente. Ti consigliamo di integrare AWS Organizations e utilizzare la configurazione centrale se aggiungi altri account in futuro.

Quando si utilizza la gestione manuale degli account, si designa un account come amministratore CSPM di Security Hub. L'account amministratore può visualizzare i dati negli account dei membri e intraprendere determinate azioni in base ai risultati degli account dei membri. L'amministratore CSPM di Security Hub invita altri account a diventare account membro e la relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.

La gestione manuale degli account non supporta l'uso di politiche di configurazione. Senza policy di configurazione, l'amministratore non può personalizzare centralmente Security Hub CSPM configurando impostazioni variabili per account diversi. Invece, ogni account dell'organizzazione deve abilitare e configurare Security Hub CSPM separatamente in ciascuna regione. Ciò può rendere più difficile e dispendioso in termini di tempo garantire una copertura di sicurezza adeguata in tutti gli account e le regioni in cui si utilizza Security Hub CSPM. Ciò può anche causare variazioni nella configurazione, in quanto gli account membri possono specificare le proprie impostazioni senza alcun intervento da parte dell'amministratore.

Per gestire gli account su invito, consulta[Gestione degli account tramite invito in Security Hub CSPM](account-management-manual.md).

# Consigli per la gestione di più account in Security Hub CSPM
<a name="securityhub-account-restrictions-recommendations"></a>

La sezione seguente riassume alcune restrizioni e raccomandazioni da tenere a mente quando si gestiscono gli account dei membri in AWS Security Hub CSPM.

## Numero massimo di account membri
<a name="admin-maximum-member-accounts"></a>

Se si utilizza l'integrazione con AWS Organizations, Security Hub CSPM supporta fino a 10.000 account membro per account amministratore delegato in ciascuno. Regione AWS Se abiliti e gestisci Security Hub CSPM manualmente, Security Hub CSPM supporta fino a 1.000 inviti di account membro per account amministratore in ciascuna regione.

## Creazione di relazioni amministratore-membro
<a name="securityhub-accounts-regions"></a>

**Nota**  
Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e non hai invitato manualmente alcun account membro, questa sezione non ti riguarda.

Un account non può essere contemporaneamente un account amministratore e un account membro.

Un account membro può essere associato a un solo account amministratore. Se un account dell'organizzazione è abilitato dall'account amministratore CSPM di Security Hub, l'account non può accettare un invito da un altro account. Se un account ha già accettato un invito, l'account non può essere abilitato dall'account amministratore CSPM di Security Hub per l'organizzazione. Inoltre, non può ricevere inviti da altri account.

Per la procedura di invito manuale, l'accettazione di un invito all'iscrizione è facoltativa.

### Iscrizione tramite AWS Organizations
<a name="accounts-regions-orgs"></a>

Se si integra Security Hub CSPM con AWS Organizations, l'account di gestione Organizations può designare un account amministratore delegato (DA) per Security Hub CSPM. L'account di gestione dell'organizzazione non può essere impostato come DA in Organizations. Sebbene ciò sia consentito in Security Hub CSPM, consigliamo che l'account di gestione Organizations *non* sia il DA.

Ti consigliamo di scegliere lo stesso account DA in tutte le regioni. Se utilizzi la [configurazione centrale](central-configuration-intro.md), Security Hub CSPM imposta lo stesso account DA in tutte le regioni in cui configuri Security Hub CSPM per la tua organizzazione.

Ti consigliamo inoltre di scegliere lo stesso account DA per tutti i servizi di AWS sicurezza e conformità per aiutarti a gestire i problemi relativi alla sicurezza in un unico pannello di controllo.

### Iscrizione su invito
<a name="accounts-regions-invitation"></a>

Per gli account membro creati su invito, l'associazione tra account amministratore e membro viene creata solo nella regione da cui viene inviato l'invito. L'account amministratore deve abilitare Security Hub CSPM in ogni regione in cui si desidera utilizzarlo. L'account amministratore invita quindi ogni account a diventare un account membro in quella regione.

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri.

## Coordinamento degli account di amministratore tra i vari servizi
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM aggrega i risultati di vari AWS servizi, come Amazon, Amazon GuardDuty Inspector e Amazon Macie. Security Hub CSPM consente inoltre agli utenti di passare da un GuardDuty risultato all'avvio di un'indagine in Amazon Detective.

Tuttavia, le relazioni amministratore-membro impostate in questi altri servizi non si applicano automaticamente a Security Hub CSPM. Security Hub CSPM consiglia di utilizzare lo stesso account dell'account amministratore per tutti questi servizi. Questo account amministratore deve essere un account responsabile degli strumenti di sicurezza. Lo stesso account deve essere utilizzato anche come account aggregatore per AWS Config.

Ad esempio, un utente dell'account GuardDuty amministratore A può visualizzare i risultati GuardDuty degli account membro B e C sulla GuardDuty console. Se l'account A abilita quindi Security Hub CSPM, gli utenti dell'account A *non* visualizzano automaticamente GuardDuty i risultati per gli account B e C nel CSPM di Security Hub. Per questi account è inoltre richiesta una relazione amministratore-membro del Security Hub CSPM.

A tale scopo, imposta l'account A come account amministratore CSPM di Security Hub e abilita gli account B e C a diventare account membri CSPM di Security Hub.

# Gestione del Security Hub CSPM per più account con AWS Organizations
<a name="securityhub-accounts-orgs"></a>

È possibile integrare AWS Security Hub CSPM e quindi gestire Security Hub CSPM per gli account dell'organizzazione. AWS Organizations

Per integrare Security Hub CSPM con AWS Organizations, devi creare un'organizzazione in. AWS Organizations L'account di gestione Organizations designa un account come amministratore delegato CSPM di Security Hub per l'organizzazione. L'amministratore delegato può quindi abilitare Security Hub CSPM per altri account dell'organizzazione, aggiungere tali account come account membro CSPM di Security Hub e intraprendere le azioni consentite sugli account dei membri. L'amministratore delegato CSPM di Security Hub può abilitare e gestire Security Hub CSPM per un massimo di 10.000 account membri.

[L'estensione delle capacità di configurazione dell'amministratore delegato dipende dall'utilizzo o meno della configurazione centrale.](central-configuration-intro.md) Con la configurazione centrale abilitata, non è necessario configurare Security Hub CSPM separatamente in ogni account membro e. Regione AWS L'amministratore delegato può applicare impostazioni CSPM specifiche di Security Hub in specifici account membro e unità organizzative () OUs in tutte le regioni.

L'account amministratore delegato CSPM di Security Hub può eseguire le seguenti azioni sugli account dei membri:
+ Se utilizzi la configurazione centrale, configura centralmente Security Hub CSPM per gli account dei membri e OUs creando politiche di configurazione CSPM di Security Hub. Le policy di configurazione possono essere utilizzate per abilitare e disabilitare Security Hub CSPM, abilitare e disabilitare gli standard e abilitare e disabilitare i controlli.
+ Tratta automaticamente i *nuovi* account come account membri del Security Hub CSPM quando entrano a far parte dell'organizzazione. Se si utilizza la configurazione centrale, una politica di configurazione associata a un'unità organizzativa include account nuovi e esistenti che fanno parte dell'unità organizzativa.
+ Tratta gli account dell'organizzazione *esistenti* come account membri del Security Hub CSPM. Ciò avviene automaticamente se si utilizza la configurazione centrale.
+ Dissocia gli account dei membri che appartengono all'organizzazione. Se si utilizza la configurazione centrale, è possibile dissociare un account membro solo dopo averlo designato come autogestito. In alternativa, è possibile associare una politica di configurazione che disabiliti Security Hub CSPM a specifici account membro gestiti centralmente.

Se non si attiva la configurazione centralizzata, l'organizzazione utilizza il tipo di configurazione predefinito chiamato configurazione locale. Nella configurazione locale, l'amministratore delegato ha una capacità più limitata di applicare le impostazioni negli account dei membri. Per ulteriori informazioni, consulta [Comprendere la configurazione locale in Security Hub CSPM](local-configuration.md).

Per un elenco completo delle azioni che l'amministratore delegato può eseguire sugli account dei membri, vedere. [Azioni consentite dagli account amministratore e membro in Security Hub CSPM](securityhub-accounts-allowed-actions.md)

Gli argomenti di questa sezione spiegano come integrare Security Hub CSPM AWS Organizations e come gestire Security Hub CSPM per gli account di un'organizzazione. Ove pertinente, ogni sezione identifica i vantaggi e le differenze di gestione per gli utenti della configurazione centrale.

**Topics**
+ [

# Integrazione del Security Hub CSPM con AWS Organizations
](designate-orgs-admin-account.md)
+ [

# Abilitazione automatica di Security Hub CSPM nei nuovi account dell'organizzazione
](accounts-orgs-auto-enable.md)
+ [

# Abilitazione manuale di Security Hub CSPM nei nuovi account dell'organizzazione
](orgs-accounts-enable.md)
+ [

# Dissociazione degli account dei membri di Security Hub CSPM dall'organizzazione
](accounts-orgs-disassociate.md)

# Integrazione del Security Hub CSPM con AWS Organizations
<a name="designate-orgs-admin-account"></a>

Per integrare AWS Security Hub CSPM e AWS Organizations, è necessario creare un'organizzazione in Organizations e utilizzare l'account di gestione dell'organizzazione per designare un account amministratore CSPM di Security Hub delegato. Ciò consente a Security Hub CSPM come servizio affidabile in Organizations. [Abilita inoltre Security Hub CSPM nella versione corrente Regione AWS per l'account amministratore delegato e consente all'amministratore delegato di abilitare Security Hub CSPM per gli account membro, visualizzare i dati negli account membro ed eseguire altre azioni consentite sugli account dei membri.](securityhub-accounts-allowed-actions.md)

Se si utilizza la [configurazione centrale](central-configuration-intro.md), l'amministratore delegato può anche creare politiche di configurazione CSPM di Security Hub che specificano come il servizio, gli standard e i controlli CSPM di Security Hub devono essere configurati negli account dell'organizzazione.

## Creazione di un'organizzazione
<a name="create-organization"></a>

Un'organizzazione è un'entità creata per consolidare la propria in Account AWS modo da poterla amministrare come una singola unità.

È possibile creare un'organizzazione utilizzando la AWS Organizations console o utilizzando un comando dall'SDK AWS CLI o da uno degli SDK. APIs Per istruzioni dettagliate, consulta [Creare un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) nella *Guida per l'AWS Organizations utente*.

Puoi utilizzarlo AWS Organizations per visualizzare e gestire centralmente tutti gli account all'interno dell'organizzazione. Un'organizzazione ha un account di gestione insieme a zero o più account membri. È possibile organizzare gli account in una struttura gerarchica ad albero con una radice nella parte superiore e le unità organizzative (OUs) annidate sotto la radice. Ogni account può trovarsi direttamente sotto la radice o collocato in una delle posizioni della gerarchia. OUs Un'unità organizzativa è un contenitore per account specifici. Ad esempio, è possibile creare un'unità organizzativa finanziaria che includa tutti i conti relativi alle operazioni finanziarie. 

## Consigli per la scelta dell'amministratore CSPM delegato di Security Hub
<a name="designate-admin-recommendations"></a>

Se disponi di un account amministratore dopo la procedura di invito manuale e stai passando alla gestione dell'account con AWS Organizations, ti consigliamo di designare quell'account come amministratore delegato del Security Hub CSPM.

Sebbene il CSPM APIs e la console di Security Hub consentano all'account di gestione dell'organizzazione di essere l'amministratore CSPM delegato di Security Hub, consigliamo di scegliere due account diversi. Questo perché è probabile che gli utenti che hanno accesso all'account di gestione dell'organizzazione per gestire la fatturazione siano diversi dagli utenti che devono accedere al CSPM di Security Hub per la gestione della sicurezza.

Si consiglia di utilizzare lo stesso amministratore delegato in tutte le regioni. Se opti per la configurazione centralizzata, Security Hub CSPM designa automaticamente lo stesso amministratore delegato nella tua regione di origine e in tutte le regioni collegate.

## Verifica le autorizzazioni per configurare l'amministratore delegato
<a name="designate-admin-permissions"></a>

Per designare e rimuovere un account amministratore CSPM di Security Hub delegato, l'account di gestione dell'organizzazione deve disporre delle autorizzazioni per le azioni e `EnableOrganizationAdminAccount` in `DisableOrganizationAdminAccount` Security Hub CSPM. L'account di gestione Organizations deve inoltre disporre delle autorizzazioni amministrative per Organizations.

Per concedere tutte le autorizzazioni richieste, collega le seguenti politiche gestite da Security Hub CSPM al principale IAM per l'account di gestione dell'organizzazione:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designazione dell'amministratore delegato
<a name="designate-admin-instructions"></a>

Per designare l'account amministratore CSPM di Security Hub delegato, è possibile utilizzare la console CSPM di Security Hub, l'API CSPM di Security Hub oppure. AWS CLI Security Hub CSPM imposta l'amministratore delegato Regione AWS solo nella versione corrente ed è necessario ripetere l'azione in altre regioni. Se inizi a utilizzare la configurazione centrale, Security Hub CSPM imposta automaticamente lo stesso amministratore delegato nella regione di origine e nelle regioni collegate.

L'account di gestione dell'organizzazione non deve abilitare Security Hub CSPM per designare l'account amministratore CSPM di Security Hub delegato.

È consigliabile che l'account di gestione dell'organizzazione non sia l'account amministratore delegato di Security Hub CSPM. Tuttavia, se si sceglie l'account di gestione dell'organizzazione come amministratore delegato CSPM di Security Hub, l'account di gestione deve avere Security Hub CSPM abilitato. Se l'account di gestione non ha Security Hub CSPM abilitato, è necessario abilitare il CSPM di Security Hub manualmente. Security Hub CSPM non può essere abilitato automaticamente per l'account di gestione dell'organizzazione.

È necessario designare l'amministratore CSPM delegato di Security Hub utilizzando uno dei seguenti metodi. La designazione dell'amministratore CSPM delegato di Security Hub con Organizations APIs non si riflette nel Security Hub CSPM.

Scegli il tuo metodo preferito e segui i passaggi per designare l'account amministratore CSPM di Security Hub delegato.

------
#### [ Security Hub CSPM console ]

**Per designare l'amministratore delegato durante l'onboarding**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Vai a Security Hub CSPM**. Ti viene richiesto di accedere all'account di gestione dell'organizzazione.

1. Nella pagina **Designa amministratore delegato**, nella sezione **Account amministratore delegato, specifica l'account amministratore** delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

1. Scegli **Imposta amministratore delegato.** Ti viene richiesto di accedere all'account amministratore delegato (se non lo sei già) per continuare l'onboarding con la configurazione centrale. **Se non desideri avviare la configurazione centralizzata, scegli Annulla.** L'amministratore delegato è impostato, ma non stai ancora utilizzando la configurazione centrale.

****Per designare l'amministratore delegato dalla pagina Impostazioni****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Impostazioni.** **Quindi scegli Generale.**

1. Se al momento è assegnato un account amministratore CSPM di Security Hub, prima di poter designare un nuovo account, è necessario rimuovere l'account corrente.

   **In **Amministratore delegato**, per rimuovere l'account corrente, scegli Rimuovi.**

1. Inserisci l'ID dell'account che desideri designare come account amministratore **CSPM di Security Hub**.

   È necessario designare lo stesso account amministratore CSPM di Security Hub in tutte le regioni. Se si designa un account diverso da quello designato in altre regioni, la console restituisce un errore.

1. Scegli **Delega**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)funzionamento dell'API CSPM Security Hub. Se utilizzi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) Fornisci l' Account AWS ID dell'amministratore CSPM di Security Hub delegato.

L'esempio seguente designa l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Rimuovere o modificare l'amministratore delegato
<a name="remove-admin-overview"></a>

Solo l'account di gestione dell'organizzazione può rimuovere l'account amministratore CSPM di Security Hub delegato.

Per cambiare l'amministratore delegato di Security Hub CSPM, è necessario prima rimuovere l'account amministratore delegato corrente e quindi designarne uno nuovo.

**avvertimento**  
Quando si utilizza la [configurazione centrale](central-configuration-intro.md), non è possibile utilizzare la console CSPM di Security Hub o il CSPM di Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione dell'organizzazione utilizza la AWS Organizations console o AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub CSPM, Security Hub CSPM interrompe automaticamente la configurazione centrale ed elimina i criteri di configurazione e le associazioni di criteri. Gli account dei membri mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato.

Se si utilizza la console Security Hub CSPM per rimuovere l'amministratore delegato in una regione, questo viene rimosso automaticamente in tutte le regioni.

L'API CSPM di Security Hub rimuove solo l'account amministratore CSPM di Security Hub delegato dalla regione in cui viene emessa la chiamata o il comando API. È necessario ripetere l'azione in altre regioni.

Se si utilizza l'API Organizations per rimuovere l'account amministratore CSPM delegato di Security Hub, questo viene rimosso automaticamente in tutte le regioni.

## Rimozione dell'amministratore delegato (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

È possibile utilizzare Organizations per rimuovere l'amministratore CSPM delegato di Security Hub in tutte le regioni.

Se si utilizza la configurazione centrale per gestire gli account, la rimozione dell'account amministratore delegato comporta l'eliminazione delle politiche di configurazione e delle associazioni di politiche. Gli account membro mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato. Tuttavia, questi account non possono più essere gestiti dall'account amministratore delegato rimosso. Diventano account autogestiti che devono essere configurati separatamente in ciascuna regione.

Scegli il tuo metodo preferito e segui le istruzioni per rimuovere l'account amministratore CSPM di Security Hub delegato con. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Per rimuovere l'amministratore CSPM delegato di Security Hub**

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)funzionamento dell'API Organizations. Se utilizzi il AWS CLI, esegui il [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)comando. Fornisci l'ID account dell'amministratore delegato e il responsabile del servizio per Security Hub CSPM, che è. `securityhub.amazonaws.com`

L'esempio seguente rimuove l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Rimozione dell'amministratore delegato (console Security Hub CSPM)
<a name="remove-admin-console"></a>

È possibile utilizzare la console CSPM di Security Hub per rimuovere l'amministratore CSPM di Security Hub delegato in tutte le regioni.

Quando l'account amministratore delegato di Security Hub CSPM viene rimosso, gli account membro vengono dissociati dall'account amministratore CSPM di Security Hub delegato rimosso.

Il CSPM di Security Hub è ancora abilitato negli account dei membri. Diventano account autonomi finché un nuovo amministratore CSPM di Security Hub non li abilita come account membro.

Se l'account di gestione dell'organizzazione non è un account abilitato in Security Hub CSPM, utilizza l'opzione nella pagina **CSPM di benvenuto in Security Hub**.

**Per rimuovere l'account amministratore CSPM di Security Hub delegato dalla pagina CSPM di **benvenuto in Security Hub****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Vai a Security Hub**.

1. In **Amministratore delegato**, scegli **Rimuovi**.

Se l'account di gestione dell'organizzazione è un account abilitato in **Security Hub**, utilizza l'opzione nella scheda **Generale** della pagina **Impostazioni**.

****Per rimuovere l'account amministratore CSPM di Security Hub delegato dalla pagina Impostazioni****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Impostazioni.** **Quindi scegli Generale.**

1. In **Amministratore delegato**, scegli **Rimuovi**.

## Rimozione dell'amministratore delegato (Security Hub CSPM API,) AWS CLI
<a name="remove-admin-api"></a>

È possibile utilizzare l'API CSPM di Security Hub o le operazioni CSPM di Security Hub per rimuovere l'amministratore CSPM AWS CLI delegato di Security Hub. Quando si rimuove l'amministratore delegato con uno di questi metodi, questo viene rimosso solo nella regione in cui è stata emessa la chiamata o il comando API. Security Hub CSPM non aggiorna altre regioni e non rimuove l'account amministratore delegato in. AWS Organizations

Scegli il tuo metodo preferito e segui questi passaggi per rimuovere l'account amministratore delegato di Security Hub CSPM con Security Hub CSPM.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Per rimuovere l'amministratore CSPM delegato di Security Hub**

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)funzionamento dell'API CSPM Security Hub. Se utilizzi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) Fornisci l'ID account dell'amministratore CSPM di Security Hub delegato.

L'esempio seguente rimuove l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Disattivazione dell'integrazione CSPM di Security Hub con AWS Organizations
<a name="disable-orgs-integration"></a>

Dopo l'integrazione di un' AWS Organizations organizzazione con AWS Security Hub CSPM, l'account di gestione Organizations può successivamente disabilitare l'integrazione. Come utente dell'account di gestione Organizations, puoi farlo disabilitando l'accesso affidabile per Security Hub CSPM in. AWS Organizations

Quando si disabilita l'accesso affidabile per Security Hub CSPM, si verifica quanto segue:
+ Security Hub CSPM perde lo status di servizio affidabile in. AWS Organizations
+ L'account amministratore delegato CSPM di Security Hub perde l'accesso alle impostazioni, ai dati e alle risorse CSPM di Security Hub per tutti gli account membri CSPM di Security Hub. Regioni AWS
+ Se stavi utilizzando la [configurazione centrale](central-configuration-intro.md), Security Hub CSPM smette automaticamente di utilizzarla per la tua organizzazione. Le policy di configurazione e le associazioni di policy vengono eliminate. Gli account mantengono le configurazioni che avevano prima della disattivazione dell'accesso affidabile.
+ Tutti gli account membri di Security Hub CSPM diventano account autonomi e mantengono le impostazioni correnti. Se Security Hub CSPM è stato abilitato per un account membro in una o più regioni, Security Hub CSPM continua a essere abilitato per l'account in tali regioni. Anche gli standard e i controlli abilitati rimangono invariati. Puoi modificare queste impostazioni separatamente in ogni account e regione. Tuttavia, l'account non è più associato a un amministratore delegato in nessuna regione.

Per ulteriori informazioni sui risultati della disabilitazione dell'accesso affidabile ai servizi, vedere [Using AWS Organizations with other Servizi AWS nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per l'*AWS Organizations utente*. 

Per disabilitare l'accesso affidabile, puoi utilizzare la AWS Organizations console, l'API Organizations o AWS CLI. Solo un utente dell'account di gestione Organizations può disabilitare l'accesso affidabile ai servizi per Security Hub CSPM. *Per i dettagli sulle autorizzazioni necessarie, consulta [Autorizzazioni necessarie per disabilitare l'accesso affidabile nella Guida per](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) l'utente.AWS Organizations *

Prima di disabilitare l'accesso affidabile, consigliamo di collaborare con l'amministratore delegato dell'organizzazione per disabilitare Security Hub CSPM negli account dei membri e per ripulire le risorse CSPM di Security Hub in tali account.

Scegli il tuo metodo preferito e segui i passaggi per disabilitare l'accesso affidabile per Security Hub CSPM.

------
#### [ Organizations console ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

1. Accedi Console di gestione AWS utilizzando le credenziali dell'account di gestione. AWS Organizations 

1. Apri la console Organizations all'indirizzo [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Nel riquadro di navigazione, scegli **Servizi**.

1. In **Servizi integrati**, scegli **AWS Security Hub CSPM**.

1. Scegli **Disable trusted access (Disabilita accesso attendibile)**.

1. Conferma di voler disabilitare l'accesso affidabile.

------
#### [ Organizations API ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

Richiama l'operazione [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) dell'API. AWS Organizations Per il `ServicePrincipal` parametro, specificare il principale del servizio CSPM di Security Hub ()`securityhub.amazonaws.com`.

------
#### [ AWS CLI ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

Esegui il [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando dell'API. AWS Organizations Per il `service-principal` parametro, specificare il principale del servizio CSPM di Security Hub ()`securityhub.amazonaws.com`.

**Esempio**:

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Abilitazione automatica di Security Hub CSPM nei nuovi account dell'organizzazione
<a name="accounts-orgs-auto-enable"></a>

Quando nuovi account entrano a far parte dell'organizzazione, vengono aggiunti all'elenco nella pagina **Account** della console CSPM di AWS Security Hub. Per gli account dell'organizzazione, **Tipo** è **Per organizzazione**. Per impostazione predefinita, i nuovi account non diventano membri del Security Hub CSPM quando entrano a far parte dell'organizzazione. Il loro stato è **Non membro**. L'account amministratore delegato può aggiungere automaticamente nuovi account come membri e abilitare Security Hub CSPM in questi account quando entrano a far parte dell'organizzazione.

**Nota**  
Sebbene molti Regioni AWS siano attivi per impostazione predefinita per l'utente Account AWS, è necessario attivare alcune regioni manualmente. In questo documento, queste regioni sono chiamate regioni opt-in. Per abilitare automaticamente Security Hub CSPM in un nuovo account in una regione opt-in, l'account deve prima avere quella regione attivata. Solo il proprietario dell'account può attivare la regione di attivazione. Per ulteriori informazioni sulle regioni che richiedono l'iscrizione, vedi [Specificare quali possono essere utilizzate dal Regioni AWS tuo account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Questo processo è diverso a seconda che si utilizzi la configurazione centrale (consigliata) o la configurazione locale.

## Abilitazione automatica di nuovi account aziendali (configurazione centrale)
<a name="central-configuration-auto-enable"></a>

Se si utilizza la [configurazione centrale](central-configuration-intro.md), è possibile abilitare automaticamente Security Hub CSPM negli account dell'organizzazione nuovi ed esistenti creando una politica di configurazione in cui sia abilitato Security Hub CSPM. È quindi possibile associare la politica alla radice dell'organizzazione o a unità organizzative specifiche (). OUs

Se si associa una politica di configurazione in cui Security Hub CSPM è abilitato a un'unità organizzativa specifica, Security Hub CSPM viene automaticamente abilitato in tutti gli account (esistenti e nuovi) che appartengono a quell'unità organizzativa. I nuovi account che non appartengono all'unità organizzativa vengono gestiti automaticamente e non hanno automaticamente il Security Hub CSPM abilitato. Se si associa una politica di configurazione in cui Security Hub CSPM è abilitato alla radice, Security Hub CSPM viene automaticamente abilitato in tutti gli account (esistenti e nuovi) che entrano a far parte dell'organizzazione. Le eccezioni si verificano se un account utilizza una politica diversa tramite l'applicazione o l'ereditarietà o è autogestito.

Nella politica di configurazione, è inoltre possibile definire quali standard e controlli di sicurezza devono essere abilitati nell'unità organizzativa. Per generare risultati di controllo per gli standard abilitati, gli account nell'unità organizzativa devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni sulla AWS Config registrazione, vedere [Attivazione e configurazione AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Per istruzioni sulla creazione di una politica di configurazione, vedere[Creazione e associazione di policy di configurazione](create-associate-policy.md).

## Abilitazione automatica di nuovi account aziendali (configurazione locale)
<a name="limited-configuration-auto-enable"></a>

Quando si utilizza la configurazione locale e si attiva l'abilitazione automatica degli standard predefiniti, Security Hub CSPM aggiunge *nuovi* account dell'organizzazione come membri e abilita Security Hub CSPM in essi nella regione corrente. Le altre regioni non sono interessate. Inoltre, l'attivazione dell'abilitazione automatica non abilita Security Hub CSPM negli account aziendali *esistenti*, a meno che non siano già stati aggiunti come account membro.

Dopo aver attivato l'abilitazione automatica, gli standard di sicurezza predefiniti vengono abilitati per i nuovi account membro nella regione corrente quando entrano a far parte dell'organizzazione. Gli standard predefiniti sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Non è possibile modificare gli standard predefiniti. Se desideri abilitare altri standard all'interno dell'organizzazione o abilitare gli standard per determinati account OUs, ti consigliamo di utilizzare la configurazione centralizzata.

Per generare risultati di controllo per gli standard predefiniti (e altri standard abilitati), gli account dell'organizzazione devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni sulla AWS Config registrazione, vedere [Attivazione e configurazione AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Scegli il tuo metodo preferito e segui i passaggi per abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione. Queste istruzioni si applicano solo se si utilizza la configurazione locale.

------
#### [ Security Hub CSPM console ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign utilizza le credenziali dell'account amministratore delegato.

1. **Nel pannello di navigazione CSPM di Security Hub, in **Impostazioni**, scegli Configurazione.**

1. Nella sezione **Account**, attiva l'attivazione **automatica** degli account.

------
#### [ Security Hub CSPM API ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dall'account amministratore delegato. Imposta il `AutoEnable` campo su per `true` abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione.

------
#### [ AWS CLI ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando dall'account amministratore delegato. Includi il `auto-enable` parametro per abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Abilitazione manuale di Security Hub CSPM nei nuovi account dell'organizzazione
<a name="orgs-accounts-enable"></a>

Se non abiliti automaticamente Security Hub CSPM nei nuovi account dell'organizzazione quando entrano a far parte dell'organizzazione, puoi aggiungere tali account come membri e abilitare il CSPM di Security Hub manualmente dopo l'adesione all'organizzazione. È inoltre necessario abilitare manualmente Security Hub CSPM in quanto in precedenza Account AWS si è dissociati da un'organizzazione.

**Nota**  
[Questa sezione non si applica all'utente se si utilizza la configurazione centrale.](central-configuration-intro.md) Se si utilizza la configurazione centrale, è possibile creare politiche di configurazione che abilitano Security Hub CSPM in account membri e unità organizzative specifici ()OUs. È inoltre possibile abilitare standard e controlli specifici in tali account e. OUs

Non puoi abilitare Security Hub CSPM in un account se è già un account membro di un'altra organizzazione.

Inoltre, non puoi abilitare Security Hub CSPM in un account attualmente sospeso. Se tenti di abilitare il servizio in un account sospeso, lo stato dell'account cambia in **Account** sospeso.
+ Se l'account non ha Security Hub CSPM abilitato, Security Hub CSPM è abilitato in quell'account. Nell'account sono abilitati anche lo standard AWS Foundational Security Best Practices (FSBP) e CIS AWS Foundations Benchmark v1.2.0, a meno che non vengano disattivati gli standard di sicurezza predefiniti.

  L'eccezione è rappresentata dall'account di gestione Organizations. Security Hub CSPM non può essere abilitato automaticamente nell'account di gestione Organizations. È necessario abilitare manualmente Security Hub CSPM nell'account di gestione Organizations prima di poterlo aggiungere come account membro.
+ Se l'account ha già abilitato Security Hub CSPM, Security Hub CSPM non apporta altre modifiche all'account. Abilita solo l'iscrizione.

Affinché Security Hub CSPM generi i risultati del controllo, gli account dei membri devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni, consulta [Abilitazione e configurazione di AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Scegli il tuo metodo preferito e segui i passaggi per abilitare un account dell'organizzazione come account membro del Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore delegato.

1. **Nel pannello di navigazione CSPM di Security Hub, in **Impostazioni**, scegli Configurazione.**

1. Nell'elenco **Account**, seleziona ogni account dell'organizzazione che desideri abilitare.

1. Scegli **Azioni**, quindi scegli **Aggiungi membro**.

------
#### [ Security Hub CSPM API ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API dall'account amministratore delegato. Per ogni account da abilitare, fornisci l'ID dell'account.

A differenza della procedura di invito manuale, quando `CreateMembers` richiami per abilitare un account dell'organizzazione, non devi inviare un invito.

------
#### [ AWS CLI ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)comando dall'account amministratore delegato. Per ogni account da abilitare, fornisci l'ID dell'account.

A differenza della procedura di invito manuale, quando `create-members` esegui l'attivazione di un account aziendale, non devi inviare un invito.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Esempio**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Dissociazione degli account dei membri di Security Hub CSPM dall'organizzazione
<a name="accounts-orgs-disassociate"></a>

Per interrompere la ricezione e la visualizzazione dei risultati da un account membro CSPM di AWS Security Hub, puoi dissociare l'account membro dalla tua organizzazione.

**Nota**  
Se si utilizza la [configurazione centrale](central-configuration-intro.md), la dissociazione funziona in modo diverso. È possibile creare una politica di configurazione che disabiliti Security Hub CSPM in uno o più account membro gestiti centralmente. Dopodiché, questi account fanno ancora parte dell'organizzazione, ma non genereranno risultati CSPM di Security Hub. Se utilizzi la configurazione centrale ma disponi anche di account membri invitati manualmente, puoi dissociare uno o più account invitati manualmente.

Gli account membro gestiti utilizzando non AWS Organizations possono dissociare i propri account dall'account amministratore. Solo l'account amministratore può dissociare un account membro.

La dissociazione di un account membro non comporta la chiusura dell'account. Rimuove invece l'account membro dall'organizzazione. L'account membro dissociato diventa autonomo Account AWS e non è più gestito dall'integrazione CSPM di Security Hub con. AWS Organizations

Scegli il tuo metodo preferito e segui i passaggi per dissociare un account membro dall'organizzazione.

------
#### [ Security Hub CSPM console ]

**Per dissociare un account membro dall'organizzazione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore delegato.

1. **Nel riquadro di navigazione, in **Impostazioni**, scegli Configurazione.**

1. Nella sezione **Account**, seleziona gli account da cui desideri dissociare. Se utilizzi la configurazione centrale, puoi selezionare un account invitato manualmente da dissociare dalla scheda. `Invitation accounts` Questa scheda è visibile solo se si utilizza la configurazione centrale.

1. Scegli **Azioni**, quindi scegli **Dissocia account**.

------
#### [ Security Hub CSPM API ]

**Per dissociare un account membro dall'organizzazione**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API dall'account amministratore delegato. È necessario fornire il codice Account AWS IDs per la dissociazione degli account dei membri. Per visualizzare un elenco di account membri, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Per dissociare un account membro dall'organizzazione**

Esegui il `disassociate-members` comando [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) dall'account amministratore delegato. È necessario fornire il codice Account AWS IDs per la dissociazione degli account dei membri. Per visualizzare un elenco di account membri, esegui il `list-members` comando [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Esempio**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Puoi anche utilizzare la AWS Organizations console o AWS SDKs dissociare un account membro dalla tua organizzazione. AWS CLI Per ulteriori informazioni, consulta [Rimuovere un account membro dall'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) nella *Guida per l'AWS Organizations utente*.

# Gestione degli account tramite invito in Security Hub CSPM
<a name="account-management-manual"></a>

È possibile gestire centralmente più account CSPM di AWS Security Hub in due modi: integrando Security Hub CSPM AWS Organizations o inviando e accettando manualmente gli inviti di iscrizione. È necessario utilizzare la procedura manuale se si dispone di un account autonomo o se non si esegue l'integrazione con. AWS Organizations Nella gestione manuale degli account, l'amministratore CSPM di Security Hub invita gli account a diventare membri. La relazione amministratore-membro viene stabilita quando un potenziale membro accetta l'invito. Un account amministratore CSPM di Security Hub può gestire Security Hub CSPM per un massimo di 1.000 account membro basati su invito. 

**Nota**  
Se crei un'organizzazione basata su inviti in Security Hub CSPM, puoi successivamente [passare](accounts-transition-to-orgs.md) a usare invece. AWS Organizations Se hai più di un account membro, ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire i tuoi account membro. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

L'aggregazione interregionale dei risultati e di altri dati è disponibile per gli account che inviti tramite la procedura di invito manuale. Tuttavia, l'amministratore deve invitare l'account membro della regione di aggregazione e di tutte le regioni collegate affinché l'aggregazione tra regioni funzioni. Inoltre, l'account membro deve avere Security Hub CSPM abilitato nella regione di aggregazione e in tutte le regioni collegate per consentire all'amministratore di visualizzare i risultati dell'account membro.

Le politiche di configurazione non sono supportate per gli account membro invitati manualmente. È invece necessario configurare le impostazioni CSPM di Security Hub separatamente in ogni account membro e Regione AWS quando si utilizza la procedura di invito manuale.

È inoltre necessario utilizzare la procedura manuale basata sugli inviti per gli account che non appartengono alla propria organizzazione. Ad esempio, potresti non includere un account di prova nella tua organizzazione. In alternativa, potresti voler consolidare gli account di più organizzazioni in un unico account amministratore CSPM di Security Hub. L'account amministratore CSPM di Security Hub deve inviare inviti agli account che appartengono ad altre organizzazioni.

Nella pagina **Configurazione** della console CSPM di Security Hub, gli account aggiunti su invito sono elencati nella scheda **Account di invito**. Se utilizzi la [configurazione centrale](central-configuration-intro.md), ma inviti anche account esterni all'organizzazione, puoi visualizzare i risultati degli account basati su invito in questa scheda. Tuttavia, l'amministratore CSPM di Security Hub non può configurare account basati su inviti in tutte le regioni tramite l'uso di politiche di configurazione.

Gli argomenti di questa sezione spiegano come gestire gli account dei membri tramite gli inviti.

**Topics**
+ [

# Aggiungere e invitare account membri in Security Hub CSPM
](securityhub-accounts-add-invite.md)
+ [

# Rispondere a un invito a diventare un account membro CSPM di Security Hub
](securityhub-invitation-respond.md)
+ [

# Dissociazione degli account dei membri in Security Hub CSPM
](securityhub-disassociate-members.md)
+ [

# Eliminazione degli account dei membri in Security Hub CSPM
](securityhub-delete-member-accounts.md)
+ [

# Dissociazione da un account amministratore CSPM di Security Hub
](securityhub-disassociate-from-admin.md)
+ [

# Passaggio a Organizations per gestire gli account in Security Hub CSPM
](accounts-transition-to-orgs.md)

# Aggiungere e invitare account membri in Security Hub CSPM
<a name="securityhub-accounts-add-invite"></a>

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

Il tuo account diventa l'amministratore CSPM AWS di Security Hub per gli account che accettano il tuo invito a diventare un account membro CSPM di Security Hub.

Quando accetti un invito da un altro account, il tuo account diventa un account membro e quell'account diventa il tuo amministratore.

Se il tuo account è un account amministratore, non puoi accettare un invito a diventare un account membro.

L'aggiunta di un account membro prevede i seguenti passaggi:

1. L'account amministratore aggiunge l'account membro al relativo elenco di account membri.

1. L'account amministratore invia un invito all'account membro.

1. L'account membro accetta l'invito. 

## Aggiungere account membri
<a name="securityhub-add-accounts"></a>

Dalla console CSPM di Security Hub, puoi aggiungere account all'elenco degli account membri. Nella console Security Hub CSPM, è possibile selezionare gli account singolarmente o caricare un `.csv` file contenente le informazioni sull'account.

Per ogni account, è necessario fornire l'ID dell'account e un indirizzo e-mail. L'indirizzo e-mail deve essere l'indirizzo e-mail da contattare in merito ai problemi di sicurezza dell'account. Non viene utilizzato per verificare l'account.

Scegli il tuo metodo preferito e segui i passaggi per aggiungere account membri.

------
#### [ Security Hub CSPM console ]

**Per aggiungere account al tuo elenco di account membri**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore.

1. Nel riquadro a sinistra, scegliere **Settings (Impostazioni)**.

1. Nella pagina **Impostazioni**, scegli **Account**, quindi scegli **Aggiungi account**. Puoi quindi aggiungere account singolarmente o caricare un `.csv` file contenente l'elenco degli account.

1. Per selezionare gli account, esegui una delle seguenti operazioni:
   + Per aggiungere gli account singolarmente, in **Inserisci account**, inserisci l'ID account e l'indirizzo e-mail dell'account da aggiungere, quindi scegli **Aggiungi**.

     Ripeti questa procedura per ogni account.
   + Per utilizzare un file con valori separati da virgole (.csv) per aggiungere più account, devi prima creare il file. Il file deve contenere l'ID dell'account e l'indirizzo e-mail di ogni account da aggiungere.

     Nell'`.csv`elenco, gli account devono apparire uno per riga. La prima riga del `.csv` file deve contenere l'intestazione. Nell'intestazione, la prima colonna è **Account ID** e la seconda colonna è. **Email**

     Ogni riga successiva deve contenere un ID account e un indirizzo e-mail validi per l'account da aggiungere.

     Ecco un esempio di `.csv` file visualizzato in un editor di testo.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     In un programma per fogli di calcolo, i campi vengono visualizzati in colonne separate. Il formato sottostante è ancora separato da virgole. È necessario formattare l'account IDs come numeri non decimali. Ad esempio, l'ID account 444455556666 non può essere formattato come 444455556666.0. Assicurati inoltre che la formattazione del numero non rimuova gli zeri iniziali dall'ID dell'account.

     Per selezionare il file, sulla console, scegli **Carica lista (.csv**). **Quindi scegli Sfoglia.**

     Dopo aver selezionato il file, scegli **Aggiungi account**.

1. Dopo aver aggiunto gli account, in **Account da aggiungere**, scegli **Avanti**.

------
#### [ Security Hub CSPM API ]

**Per aggiungere account al tuo elenco di account membri**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API dall'account amministratore. Per aggiungere un account membro, devi fornire l' Account AWS ID.

------
#### [ AWS CLI ]

**Per aggiungere account al tuo elenco di account membri**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)comando dall'account amministratore. Per ogni account membro da aggiungere, devi fornire l' Account AWS ID.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Esempio**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Invitare gli account dei membri
<a name="securityhub-invite-accounts"></a>

Dopo aver aggiunto gli account membro, invii un invito all'account membro. Puoi anche inviare nuovamente un invito a un account che hai dissociato dall'amministratore.

------
#### [ Security Hub CSPM console ]

**Per invitare account di potenziali membri**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore.

1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli **Account**. 

1. Per l'account da invitare, scegliere **Invite (Invita)** nella colonna **Status (Stato)**.

1. Quando ti viene richiesto di confermare, scegli **Invita**.

**Nota**  
**Per inviare nuovamente gli inviti ad account dissociati, seleziona ciascun account dissociato nella pagina Account.** **Per **Azioni, scegli Reinvia** l'invito.**

------
#### [ Security Hub CSPM API ]

**Per invitare account di potenziali membri**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API dall'account amministratore. Per ogni account da invitare, devi fornire l' Account AWS ID.

------
#### [ AWS CLI ]

**Per invitare account di potenziali membri**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)comando dall'account amministratore. Per ogni account da invitare, devi fornire l' Account AWS ID.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Esempio**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Rispondere a un invito a diventare un account membro CSPM di Security Hub
<a name="securityhub-invitation-respond"></a>

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

Puoi accettare o rifiutare un invito a diventare un account membro CSPM AWS di Security Hub.

Se accetti un invito, il tuo account diventa un account membro del Security Hub CSPM. L'account che ha inviato l'invito diventa il tuo account amministratore CSPM di Security Hub. L'utente dell'account amministratore può visualizzare i risultati del proprio account membro in Security Hub CSPM.

Se rifiuti l'invito, il tuo account viene contrassegnato come **Rinunciato** nell'elenco degli account membri dell'account amministratore.

Puoi accettare solo un invito a diventare un account membro.

Prima di poter accettare o rifiutare un invito, è necessario abilitare Security Hub CSPM.

Ricorda che tutti gli account CSPM di Security Hub devono essere AWS Config abilitati e configurati per registrare tutte le risorse. Per i dettagli sui requisiti per AWS Config, vedere [Attivazione e configurazione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html). AWS Config

## Accettare un invito
<a name="securityhub-accept-invitation"></a>

È possibile inviare un invito a diventare un account membro CSPM di Security Hub dall'account amministratore. È quindi possibile accettare l'invito dopo aver effettuato l'accesso all'account membro.

Scegli il tuo metodo preferito e segui i passaggi per accettare un invito a diventare un account membro.

------
#### [ Security Hub CSPM console ]

**Per accettare un invito all'iscrizione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli Account.**

1. Nella sezione **Account amministratore**, attiva **Accetta**, quindi scegli **Accetta invito**.

------
#### [ Security Hub CSPM API ]

**Per accettare un invito all'iscrizione**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API. È necessario fornire l'identificatore dell'invito e l' Account AWS ID dell'account amministratore. Per recuperare i dettagli sull'invito, usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)operazione.

------
#### [ AWS CLI ]

**Per accettare un invito all'iscrizione**

Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). È necessario fornire l'identificatore dell'invito e l' Account AWS ID dell'account amministratore. Per recuperare i dettagli sull'invito, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)comando.

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Esempio**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**Nota**  
La console CSPM di Security Hub continua a essere utilizzata. `AcceptInvitation` Alla fine cambierà modalità di utilizzo. `AcceptAdministratorInvitation` Tutte le policy IAM che controllano specificamente l'accesso a questa funzione devono continuare a essere utilizzate`AcceptInvitation`. È inoltre necessario `AcceptAdministratorInvitation` completare le policy per garantire che siano disponibili le autorizzazioni corrette dopo l'inizio dell'utilizzo `AcceptAdministratorInvitation` della console.

## Rifiutare un invito
<a name="securityhub-decline-invitation"></a>

Puoi rifiutare un invito a diventare un account membro CSPM di Security Hub. Quando rifiuti un invito nella console CSPM di Security Hub, il tuo account viene contrassegnato come **Rinunciato** nell'elenco degli account membri dell'account amministratore. Lo stato **Dimesso** viene visualizzato solo quando si accede alla console CSPM di Security Hub utilizzando l'account amministratore. Tuttavia, l'invito rimane invariato nella console dell'account membro finché non si accede all'account amministratore e si elimina l'invito.

Per rifiutare un invito, devi accedere all'account membro che ha ricevuto l'invito.

Scegli il tuo metodo preferito e segui i passaggi per rifiutare un invito a diventare un account membro.

------
#### [ Security Hub CSPM console ]

**Per rifiutare un invito all'iscrizione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli Account.**

1. Nella sezione **Account amministratore**, scegli **Rifiuta l'invito**.

------
#### [ Security Hub CSPM API ]

**Per rifiutare un invito all'iscrizione**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API. È necessario fornire l' Account AWS ID dell'account amministratore che ha emesso l'invito. Per visualizzare le informazioni sugli inviti, utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)operazione.

------
#### [ AWS CLI ]

**Per rifiutare un invito all'iscrizione**

Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). È necessario fornire l' Account AWS ID dell'account amministratore che ha emesso l'invito. Per visualizzare le informazioni sugli inviti, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)comando.

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Esempio**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Dissociazione degli account dei membri in Security Hub CSPM
<a name="securityhub-disassociate-members"></a>

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

Un account amministratore CSPM di AWS Security Hub può dissociare un account membro per interrompere la ricezione e la visualizzazione dei risultati da quell'account. È necessario dissociare un account membro prima di poterlo eliminare.

Quando dissociate un account membro, questo rimane nell'elenco degli account membri con lo stato **Rimosso (**Non associato). L'account viene rimosso dalle informazioni relative all'account amministratore dell'account membro.

Per riprendere a ricevere i risultati relativi all'account, puoi inviare nuovamente l'invito. Per rimuovere completamente l'account membro, puoi eliminare l'account membro.

Scegli il tuo metodo preferito e segui i passaggi per dissociare un account membro invitato manualmente dall'account amministratore.

------
#### [ Security Hub CSPM console ]

**Per dissociare un account membro invitato manualmente**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore.

1. Nel riquadro di navigazione, in **Impostazioni**, scegli **Configurazione**.

1. Nella sezione **Account**, seleziona gli account da cui desideri dissociare.

1. Scegli **Azioni**, quindi scegli **Dissocia account**.

------
#### [ Security Hub CSPM API ]

**Per dissociare un account membro invitato manualmente**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API dall'account amministratore. È necessario fornire gli account Account AWS IDs dei membri da cui si desidera dissociare. Per visualizzare un elenco di account membri, utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)operazione.

------
#### [ AWS CLI ]

**Per dissociare un account membro invitato manualmente**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)comando dall'account amministratore. È necessario fornire gli account Account AWS IDs dei membri da cui si desidera dissociare. Per visualizzare un elenco di account membri, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)comando.

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Esempio**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Eliminazione degli account dei membri in Security Hub CSPM
<a name="securityhub-delete-member-accounts"></a>

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

Come account amministratore CSPM di AWS Security Hub, puoi eliminare gli account dei membri che sono stati aggiunti su invito. Prima di poter eliminare un account abilitato, è necessario dissociarlo.

Quando si elimina un account membro, questo viene completamente rimosso dall'elenco. Per ripristinare l'iscrizione dell'account, devi aggiungerlo e invitarlo nuovamente come se fosse un account membro completamente nuovo.

Non puoi eliminare gli account che appartengono a un'organizzazione e che vengono gestiti utilizzando l'integrazione con AWS Organizations.

Scegli il tuo metodo preferito e segui i passaggi per eliminare gli account dei membri invitati manualmente.

------
#### [ Security Hub CSPM console ]

**Per eliminare un account membro invitato manualmente**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando l'account amministratore.

1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli **Configurazione**.

1. Scegli la scheda **Account di invito**. Quindi, seleziona gli account da eliminare.

1. Scegli **Azioni**, quindi **Elimina**. Questa opzione è disponibile solo se hai dissociato l'account. È necessario dissociare un account membro prima che possa essere eliminato.

------
#### [ Security Hub CSPM API ]

**Per eliminare un account membro invitato manualmente**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API dall'account amministratore. È necessario fornire gli account Account AWS IDs dei membri che si desidera eliminare. Per recuperare l'elenco degli account dei membri, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Per eliminare un account membro invitato manualmente**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)comando dall'account amministratore. È necessario fornire gli account Account AWS IDs dei membri che si desidera eliminare. Per recuperare l'elenco degli account membri, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)comando.

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Esempio**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Dissociazione da un account amministratore CSPM di Security Hub
<a name="securityhub-disassociate-from-admin"></a>

**Nota**  
Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

Se il tuo account è stato aggiunto come account membro CSPM di AWS Security Hub su invito, puoi dissociare l'account membro dall'account amministratore. Dopo aver dissociato un account membro, Security Hub CSPM non invia i risultati dall'account all'account amministratore.

Gli account membro gestiti utilizzando l'integrazione con non AWS Organizations possono dissociare i propri account dall'account amministratore. Solo l'amministratore delegato di Security Hub CSPM può dissociare gli account dei membri gestiti con Organizations.

**Quando ci si dissocia dall'account amministratore, l'account rimane nell'elenco dei membri dell'account amministratore con lo stato di Dimesso.** Tuttavia, l'account amministratore non riceve alcun risultato relativo al tuo account.

Dopo la dissociazione dall'account amministratore, l'invito a diventare membro rimane valido. Potrai accettare nuovamente l'invito in futuro.

------
#### [ Security Hub CSPM console ]

**Per dissociarsi dal proprio account amministratore**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli Account.**

1. Nella sezione **Account amministratore**, disattiva **Accetta**, quindi scegli **Aggiorna**.

------
#### [ Security Hub CSPM API ]

**Per dissociarti dal tuo account amministratore**

Richiama l'API. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html)

------
#### [ AWS CLI ]

**Per dissociarsi dal proprio account amministratore**

Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**Nota**  
La console CSPM di Security Hub continua a essere utilizzata. `DisassociateFromMasterAccount` Alla fine cambierà modalità di utilizzo. `DisassociateFromAdministratorAccount` Tutte le policy IAM che controllano specificamente l'accesso a questa funzione devono continuare a essere utilizzate`DisassociateFromMasterAccount`. È inoltre necessario `DisassociateFromAdministratorAccount` completare le policy per garantire che siano disponibili le autorizzazioni corrette dopo l'inizio dell'utilizzo `DisassociateFromAdministratorAccount` della console.

# Passaggio a Organizations per gestire gli account in Security Hub CSPM
<a name="accounts-transition-to-orgs"></a>

Quando gestisci gli account manualmente in AWS Security Hub CSPM, devi invitare account membri potenziali e configurare ogni account membro separatamente in ciascuno di essi. Regione AWS

Integrando Security Hub CSPM e AWS Organizations, puoi eliminare la necessità di inviare inviti e ottenere un maggiore controllo sul modo in cui Security Hub CSPM è configurato e personalizzato nella tua organizzazione. Per questo motivo, ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md).

È possibile utilizzare un approccio combinato in cui si utilizza l' AWS Organizations integrazione, ma anche invitare manualmente account esterni all'organizzazione. Tuttavia, consigliamo di utilizzare esclusivamente l'integrazione Organizations. La [configurazione centrale](central-configuration-intro.md), una funzionalità che consente di gestire Security Hub CSPM su più account e regioni, è disponibile solo in caso di integrazione con Organizations.

Questa sezione spiega come passare dalla gestione manuale degli account basata su inviti alla gestione degli account con. AWS Organizations

## Integrazione del Security Hub CSPM con AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Innanzitutto, è necessario integrare Security Hub CSPM e. AWS Organizations

È possibile integrare questi servizi completando i seguenti passaggi:
+ Crea un'organizzazione in AWS Organizations. Per istruzioni, consulta [Creare un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) nella *Guida AWS Organizations per l'utente*.
+ Dall'account di gestione Organizations, designare un account amministratore delegato CSPM di Security Hub.

**Nota**  
L'account di gestione dell'organizzazione *non può* essere impostato come account DA.

Per istruzioni dettagliate, vedi [Integrazione del Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

Completando i passaggi precedenti, concedi [l'accesso affidabile](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) per Security Hub CSPM in. AWS Organizations Ciò abilita anche Security Hub CSPM nella versione corrente Regione AWS per l'account amministratore delegato.

L'amministratore delegato può gestire l'organizzazione in Security Hub CSPM, principalmente aggiungendo gli account dell'organizzazione come account membri CSPM di Security Hub. L'amministratore può anche accedere a determinate impostazioni, dati e risorse CSPM di Security Hub per tali account.

Quando si passa alla gestione degli account utilizzando Organizations, gli account basati su invito non diventano automaticamente membri CSPM di Security Hub. Solo gli account che aggiungi alla nuova organizzazione possono diventare membri del Security Hub CSPM.

Dopo aver attivato l'integrazione, puoi gestire gli account con Organizations. Per informazioni, consulta [Gestione del Security Hub CSPM per più account con AWS Organizations](securityhub-accounts-orgs.md). La gestione degli account varia in base al tipo di configurazione dell'organizzazione.

# Azioni consentite dagli account amministratore e membro in Security Hub CSPM
<a name="securityhub-accounts-allowed-actions"></a>

Gli account amministratore e membro hanno accesso alle azioni CSPM di AWS Security Hub riportate nelle tabelle seguenti. Nelle tabelle, i valori hanno i seguenti significati:
+ **Qualsiasi:** l'account può eseguire l'azione per qualsiasi account membro sotto lo stesso amministratore.
+ **Corrente:** l'account può eseguire l'azione solo per se stesso (l'account a cui hai attualmente effettuato l'accesso).
+ **Dash:** indica che l'account non è in grado di eseguire l'azione.

Come indicato nelle tabelle, le azioni consentite variano in base all'integrazione AWS Organizations e al tipo di configurazione utilizzato dall'organizzazione. Per informazioni sulla differenza tra configurazione centrale e locale, vedere[Gestione degli account con AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

Security Hub CSPM non copia i risultati degli account dei membri nell'account amministratore. In Security Hub CSPM, tutti i risultati vengono inseriti in una regione specifica per un account specifico. In ogni regione, l'account amministratore può visualizzare e gestire i risultati per i propri account membro in quella regione.

Se si imposta una regione di aggregazione, l'account amministratore può visualizzare e gestire i risultati degli account membro provenienti dalle regioni collegate che vengono replicati nella regione di aggregazione. [Per ulteriori informazioni sull'aggregazione tra regioni, vedere Aggregazione tra regioni.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)

Le tabelle seguenti specificano le autorizzazioni predefinite per gli account amministratore e membro. Puoi utilizzare policy IAM personalizzate per limitare ulteriormente l'accesso alle caratteristiche e alle funzioni del Security Hub CSPM. Per indicazioni ed esempi, consulta il post sul blog [Aligning IAM policies to user personas for AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.

## Azioni consentite se si effettua l'integrazione con Organizations e si utilizza la configurazione centrale
<a name="central-configuration-allowed-actions"></a>

Gli account amministratore e membro possono accedere alle azioni CSPM di Security Hub come segue se si effettua l'integrazione con Organizations e si utilizza la configurazione centrale.


|  Azione  |  Account amministratore delegato Security Hub CSPM  |  Account membro gestito centralmente  |  Account membro autogestito  | 
| --- | --- | --- | --- | 
|  Creare e gestire le politiche di configurazione CSPM di Security Hub  |  Per account gestiti autonomamente e centralmente  |  –  |  –  | 
|  Visualizza gli account dell'organizzazione  |  Qualsiasi  |  –  |  –  | 
|  Account socio dissociato  |  Qualsiasi  |  –  |  –  | 
|  Eliminare l'account del membro  |  Qualsiasi account non aziendale  |  –  |  –  | 
|  Disattiva Security Hub CSPM  |  Per conti correnti e conti gestiti centralmente  |  –  |  Corrente (deve essere dissociato dall'account amministratore)  | 
|  Visualizza i risultati e la cronologia delle scoperte  |  Qualsiasi  |  Attuali  |  Attuali  | 
|  Aggiorna i risultati  |  Qualsiasi  |  Attuali  |  Attuali  | 
|  Visualizza i risultati delle analisi  |  Qualsiasi  |  Attuali  |  Attuali  | 
|  Visualizza i dettagli del controllo  |  Qualsiasi  |  Attuali  |  Attuali  | 
|  Attiva o disattiva i risultati del controllo consolidato  |  Qualsiasi  |  –  |  –  | 
|  Abilita e disabilita gli standard  |  Per conti correnti e conti gestiti centralmente  |  –  |  Attuali  | 
|  Abilita e disabilita i controlli  |  Per conti correnti e conti gestiti centralmente  |  –  |  Attuali  | 
|  Abilita e disabilita le integrazioni  |  Attuali  |  Attuali  |  Attuali  | 
|  Configura l'aggregazione tra regioni  |  Qualsiasi  |  –  |  –  | 
|  Seleziona la regione d'origine e le regioni collegate  |  Qualsiasi (è necessario interrompere e riavviare la configurazione centrale per modificare la regione di origine)  |  –  |  –  | 
|  Configura azioni personalizzate  |  Attuali  |  Attuali  |  Attuali  | 
|  Configura le regole di automazione  |  Qualsiasi  |  –  |  –  | 
|  Configura approfondimenti personalizzati  |  Attuali  |  Attuali  |  Attuali  | 

## Azioni consentite se si esegue l'integrazione con Organizations e si utilizza la configurazione locale
<a name="orgs-allowed-actions"></a>

Gli account amministratore e membro possono accedere alle azioni CSPM di Security Hub come segue se si effettua l'integrazione con Organizations e si utilizza la configurazione locale.


|  Azione  |  Account amministratore delegato Security Hub CSPM  |  Account membro  | 
| --- | --- | --- | 
|  Creare e gestire le politiche di configurazione CSPM di Security Hub  |  –  |  –  | 
|  Visualizza gli account dell'organizzazione  |  Qualsiasi  |  –  | 
|  Account socio dissociato  |  Qualsiasi  |  –  | 
|  Eliminare l'account del membro  |  –  |  –  | 
|  Disattiva Security Hub CSPM  |  –  |  Corrente (se l'account non è associato all'amministratore delegato)  | 
|  Visualizza i risultati e la cronologia delle scoperte  |  Qualsiasi  |  Attuali  | 
|  Aggiorna i risultati  |  Qualsiasi  |  Attuali  | 
|  Visualizza i risultati delle analisi  |  Qualsiasi  |  Attuali  | 
|  Visualizza i dettagli del controllo  |  Qualsiasi  |  Attuali  | 
|  Attiva o disattiva i risultati del controllo consolidato  |  Qualsiasi  |  –  | 
|  Abilita e disabilita gli standard  |  Attuali  |  Attuali  | 
|  Abilita automaticamente Security Hub, CSPM e gli standard predefiniti nei nuovi account dell'organizzazione  |  Per account correnti e nuovi account aziendali  |  –  | 
|  Abilita e disabilita i controlli  |  Attuali  |  Attuali  | 
|  Abilita e disabilita le integrazioni  |  Attuali  |  Attuali  | 
|  Configura l'aggregazione tra regioni  |  Qualsiasi  |  –  | 
|  Configura azioni personalizzate  |  Attuali  |  Attuali  | 
|  Configura le regole di automazione  |  Qualsiasi  |  –  | 
|  Configura approfondimenti personalizzati  |  Attuali  |  Attuali  | 

## Azioni consentite per gli account basati su invito
<a name="manual-allowed-actions"></a>

Gli account amministratore e membro possono accedere alle azioni CSPM di Security Hub come segue se si utilizza il metodo basato su invito per gestire manualmente gli account anziché integrarli con. AWS Organizations


|  Azione  |  Account amministratore CSPM di Security Hub  |  Account membro  | 
| --- | --- | --- | 
|  Creare e gestire le politiche di configurazione CSPM di Security Hub  |  –  |  –  | 
|  Visualizza gli account dell'organizzazione  |  Qualsiasi  |  –  | 
|  Account socio dissociato  |  Qualsiasi  |  Attuali  | 
|  Eliminare l'account del membro  |  Qualsiasi  |  –  | 
|  Disattiva Security Hub CSPM  |  Attuale (se non ci sono account membri abilitati)  |  Corrente (se l'account è dissociato dall'account amministratore)  | 
|  Visualizza i risultati e la cronologia delle scoperte  |  Qualsiasi  |  Attuali  | 
|  Aggiorna i risultati  |  Qualsiasi  |  Attuali  | 
|  Visualizza i risultati delle analisi  |  Qualsiasi  |  Attuali  | 
|  Visualizza i dettagli del controllo  |  Qualsiasi  |  Attuali  | 
|  Attiva o disattiva i risultati del controllo consolidato  |  Qualsiasi  |  –  | 
|  Abilita e disabilita gli standard  |  Attuali  |  Attuali  | 
|  Abilita automaticamente Security Hub, CSPM e gli standard predefiniti nei nuovi account dell'organizzazione  |  –  |  –  | 
|  Abilita e disabilita i controlli  |  Attuali  |  Attuali  | 
|  Abilita e disabilita le integrazioni  |  Attuali  |  Attuali  | 
|  Configura l'aggregazione tra regioni  |  Qualsiasi  |  –  | 
|  Configura azioni personalizzate  |  Attuali  |  Attuali  | 
|  Configura le regole di automazione  |  Qualsiasi  |  –  | 
|  Configura approfondimenti personalizzati  |  Attuali  |  Attuali  | 

# Effetto delle azioni dell'account sui dati CSPM di Security Hub
<a name="securityhub-data-retention"></a>

Queste azioni dell'account hanno i seguenti effetti sui dati CSPM AWS di Security Hub.

## Security Hub CSPM disabilitato
<a name="securityhub-effects-disable-securityhub"></a>

Se si utilizza la [configurazione centrale](central-configuration-intro.md), l'amministratore delegato (DA) può creare politiche di configurazione CSPM di Security Hub che disabilitano AWS Security Hub CSPM in account e unità organizzative specifici (). OUs In questo caso, Security Hub CSPM è disabilitato negli account specificati, OUs nella tua regione d'origine e in tutte le regioni collegate. Se non utilizzi la configurazione centrale, devi disabilitare Security Hub CSPM separatamente in ogni account e regione in cui l'hai abilitato. Non è possibile utilizzare la configurazione centrale se Security Hub CSPM è disabilitato nell'account DA.

Nessun risultato viene generato o aggiornato per l'account amministratore se Security Hub CSPM è disabilitato nell'account amministratore. I risultati archiviati esistenti vengono eliminati dopo 30 giorni. I risultati attivi esistenti vengono eliminati dopo 90 giorni.

Le integrazioni con altri Servizi AWS vengono rimosse.

Gli standard e i controlli di sicurezza abilitati sono disabilitati.

Altri dati e impostazioni CSPM di Security Hub, tra cui azioni personalizzate, approfondimenti e abbonamenti a prodotti di terze parti, vengono conservati per 90 giorni.

## Account membro dissociato dall'account amministratore
<a name="securityhub-effects-member-disassociation"></a>

Quando un account membro viene dissociato dall'account amministratore, l'account amministratore perde l'autorizzazione a visualizzare i risultati nell'account membro. Tuttavia, Security Hub CSPM è ancora abilitato in entrambi gli account.

Se si utilizza la configurazione centrale, il DA non può configurare Security Hub CSPM per un account membro dissociato dall'account DA.

Le impostazioni o le integrazioni personalizzate definite per l'account amministratore non vengono applicate ai risultati dell'account del precedente membro. Ad esempio, dopo la dissociazione degli account, potresti avere un'azione personalizzata nell'account amministratore utilizzato come modello di evento in una EventBridge regola Amazon. Tuttavia, questa azione personalizzata non può essere utilizzata nell'account del membro.

**Nell'elenco **Account** per l'account amministratore CSPM di Security Hub, un account rimosso ha lo stato Disassociato.**

## L'account membro viene rimosso da un'organizzazione
<a name="securityhub-effects-member-leaves-org"></a>

Quando un account membro viene rimosso da un'organizzazione, l'account amministratore CSPM di Security Hub perde l'autorizzazione a visualizzare i risultati nell'account membro. Tuttavia, Security Hub CSPM è ancora abilitato in entrambi gli account con le stesse impostazioni che avevano prima della rimozione.

Se utilizzi la configurazione centrale, non puoi configurare Security Hub CSPM per un account membro dopo che è stato rimosso dall'organizzazione a cui appartiene l'amministratore delegato. Tuttavia, l'account mantiene le impostazioni che aveva prima della rimozione, a meno che non vengano modificate manualmente.

**Nell'elenco **Account** per l'account amministratore CSPM di Security Hub, un account rimosso ha lo stato Eliminato.**

## L'account è sospeso
<a name="securityhub-effects-account-suspended"></a>

Quando un account Account AWS viene sospeso, l'account perde l'autorizzazione a visualizzare i risultati in Security Hub CSPM. Nessun risultato viene generato o aggiornato per quell'account. L'account amministratore di un account sospeso può visualizzare i risultati esistenti relativi all'account.

Per un account dell'organizzazione, lo stato dell'account membro può anche cambiare in **Account sospeso**. Ciò accade se l'account viene sospeso nello stesso momento in cui l'account amministratore tenta di abilitarlo. L'account amministratore di un **account sospeso** non può visualizzare i risultati relativi a quell'account. In caso contrario, lo stato di sospensione non influisce sullo stato dell'account membro.

Se si utilizza la configurazione centrale, l'associazione delle politiche fallisce se l'amministratore delegato tenta di associare una politica di configurazione a un account sospeso.

Dopo 90 giorni, l'account viene chiuso o riattivato. Quando l'account viene riattivato, le autorizzazioni CSPM del Security Hub vengono ripristinate. Se lo stato dell'account membro è **Account sospeso**, l'account amministratore deve abilitare l'account manualmente.

## L'account è chiuso
<a name="securityhub-effects-account-deletion"></a>

Quando un Account AWS è chiuso, Security Hub CSPM risponde alla chiusura come segue.

Se l'account è un account amministratore CSPM di Security Hub, viene rimosso come account amministratore e tutti gli account dei membri vengono rimossi. Se l'account è un account membro, viene dissociato e rimosso come membro dall'account amministratore CSPM di Security Hub.

Security Hub CSPM conserva i risultati archiviati esistenti nell'account per 30 giorni. Per un risultato di controllo, il calcolo di 30 giorni si basa sul valore del `UpdatedAt` campo del risultato. Per un altro tipo di risultato, il calcolo si basa sul valore del `ProcessedAt` campo `UpdatedAt` o del risultato, a seconda di quale data sia più recente. Al termine di questo periodo di 30 giorni, Security Hub CSPM elimina definitivamente i risultati dall'account.

Security Hub CSPM conserva i risultati attivi esistenti nell'account per 90 giorni. Per un risultato di controllo, il calcolo di 90 giorni si basa sul valore del `UpdatedAt` campo del risultato. Per un altro tipo di risultato, il calcolo si basa sul valore del `ProcessedAt` campo `UpdatedAt` o del risultato, a seconda di quale data sia più recente. Al termine di questo periodo di 90 giorni, Security Hub CSPM elimina definitivamente i risultati dall'account.

Per conservare a lungo termine i risultati esistenti, puoi esportare i risultati in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

**Importante**  
Per i clienti registrati AWS GovCloud (US) Regions, esegui il backup e quindi elimina i dati della polizza e altre risorse dell'account prima di chiudere l'account. Non avrai accesso alle risorse e ai dati dopo la chiusura dell'account.

Per ulteriori informazioni, consulta [Close an Account AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) nella *Guida Gestione dell'account AWS di riferimento*.

# Comprendere l'aggregazione interregionale in Security Hub CSPM
<a name="finding-aggregation"></a>

**Nota**  
*La regione di *aggregazione è ora denominata regione* principale.* Alcune operazioni dell'API CSPM di Security Hub utilizzano ancora la regione di aggregazione con termini precedenti.

Utilizzando l'aggregazione interregionale in AWS Security Hub CSPM, puoi aggregare i risultati, trovare aggiornamenti, approfondimenti, controllare gli stati di conformità e i punteggi di sicurezza da più Regioni AWS aree geografiche a un'unica area geografica. È quindi possibile gestire tutti questi dati dalla regione di origine.

Supponiamo di impostare Stati Uniti orientali (Virginia settentrionale) come regione di origine e Stati Uniti occidentali (Oregon) e Stati Uniti occidentali (California settentrionale) come regioni collegate. Quando si visualizza la pagina **Risultati** negli Stati Uniti orientali (Virginia settentrionale), vengono visualizzati i risultati di tutte e tre le regioni. Gli aggiornamenti a tali risultati si riflettono anche in tutte e tre le regioni.

**Nota**  
In AWS GovCloud (US), l'aggregazione tra regioni è supportata solo per i risultati, gli aggiornamenti delle ricerche e gli approfondimenti in tutte le aree. AWS GovCloud (US) In particolare, puoi aggregare i risultati, trovare aggiornamenti e approfondimenti solo tra AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali). Nelle regioni della Cina, l'aggregazione interregionale è supportata solo per i risultati, gli aggiornamenti delle ricerche e gli approfondimenti nelle regioni della Cina. In particolare, puoi solo aggregare risultati, trovare aggiornamenti e approfondimenti tra Cina (Pechino) e Cina (Ningxia).

Se un controllo è abilitato in una regione collegata ma disattivato nella regione di origine, è possibile visualizzare lo stato di conformità del controllo dalla regione di origine, ma non è possibile abilitare o disabilitare tale controllo dalla regione di origine. L'eccezione è se si utilizza la [configurazione centrale](central-configuration-intro.md). Se si utilizza la configurazione centrale, l'amministratore delegato di Security Hub CSPM può configurare i controlli nella regione di origine e nelle regioni collegate dalla regione di origine.

Se hai impostato una regione d'origine, i [punteggi di sicurezza](standards-security-score.md) tengono conto degli stati di controllo in generale Regioni collegate. Per visualizzare i punteggi di sicurezza e gli stati di conformità tra le regioni, aggiungi le seguenti autorizzazioni al tuo ruolo IAM che utilizza Security Hub CSPM:
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## Tipi di dati aggregati
<a name="finding-aggregation-overview"></a>

Quando l'aggregazione tra regioni è abilitata con una o più regioni collegate, Security Hub CSPM replica i seguenti dati dalle regioni collegate alla regione principale. Ciò si verifica in tutti gli account in cui è abilitata l'aggregazione tra aree geografiche.
+ Esiti
+ Approfondimenti
+ Controlla gli stati di conformità
+ Punteggi di sicurezza

Oltre ai nuovi dati nell'elenco precedente, Security Hub CSPM replica anche gli aggiornamenti di questi dati tra le regioni collegate e la regione principale. Gli aggiornamenti che si verificano in una regione collegata vengono replicati nella regione di origine. Gli aggiornamenti che si verificano nella regione di origine vengono replicati nella regione collegata. Se sono presenti aggiornamenti in conflitto nella regione di origine e nella regione collegata, viene utilizzato l'aggiornamento più recente.

![\[Quando l'aggregazione tra aree geografiche è abilitata, Security Hub CSPM replica i risultati nuovi e aggiornati tra le regioni collegate e la regione di origine.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


L'aggregazione tra regioni non aumenta il costo del Security Hub CSPM. Non ti viene addebitato alcun costo quando Security Hub CSPM replica nuovi dati o aggiornamenti.

Nella regione di origine, la pagina di **riepilogo** fornisce una visualizzazione dei risultati attivi nelle regioni collegate. Per informazioni, vedere [Visualizzazione di un riepilogo interregionale dei risultati per gravità](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). **In altri pannelli della pagina di riepilogo** che analizzano i risultati vengono visualizzate anche informazioni provenienti da tutte le regioni collegate.

I punteggi di sicurezza nella regione d'origine vengono calcolati confrontando il numero di controlli approvati con il numero di controlli abilitati in tutte le aree collegate. Inoltre, se un controllo è abilitato in almeno una regione collegata, è visibile nelle pagine dei dettagli **degli standard di sicurezza** della regione d'origine. Lo stato di conformità dei controlli nelle pagine dei dettagli degli standard riflette i risultati delle regioni collegate. Se un controllo di sicurezza associato a un controllo ha esito negativo in una o più aree collegate, lo stato di conformità di tale controllo viene visualizzato come **Non riuscito** nelle pagine dei dettagli degli standard della regione di origine. Il numero di controlli di sicurezza include i risultati di tutte le regioni collegate.

Security Hub CSPM aggrega solo i dati delle regioni in cui un account ha il Security Hub CSPM abilitato. Security Hub CSPM non è abilitato automaticamente per un account in base alla configurazione di aggregazione tra regioni.

È possibile abilitare l'aggregazione tra regioni senza selezionare alcuna regione collegata. In questo caso, non si verifica alcuna replica dei dati.

## Aggregazione per gli account degli amministratori e dei membri
<a name="finding-aggregation-admin-member"></a>

Gli account autonomi, gli account membro e gli account amministratore possono configurare l'aggregazione tra regioni. Se configurata da un amministratore, la presenza dell'account amministratore è essenziale affinché l'aggregazione tra regioni funzioni negli account amministrati. Se l'account amministratore viene rimosso o dissociato da un account membro, l'aggregazione tra aree geografiche per l'account membro si interrompe. Ciò è vero anche se l'aggregazione tra aree geografiche era abilitata per l'account prima dell'inizio della relazione amministratore-membro.

Quando un account amministratore abilita l'aggregazione tra regioni, Security Hub CSPM replica i dati generati dall'account amministratore in tutte le regioni collegate alla regione di origine. Inoltre, Security Hub CSPM identifica gli account membro associati a quell'amministratore e ogni account membro eredita le impostazioni di aggregazione interregionale dell'amministratore. Security Hub CSPM replica i dati generati da un account membro in tutte le regioni collegate alla regione di origine.

L'amministratore può accedere e gestire i risultati di sicurezza di tutti gli account dei membri all'interno delle regioni amministrate. Tuttavia, in qualità di amministratore CSPM di Security Hub, devi accedere alla regione di origine per visualizzare i dati aggregati di tutti gli account membri e le regioni collegate.

In qualità di account membro del Security Hub CSPM, devi accedere alla regione d'origine per visualizzare i dati aggregati del tuo account da tutte le regioni collegate. Gli account dei membri non dispongono delle autorizzazioni per visualizzare i dati degli altri account membri.

Un account amministratore può invitare manualmente gli account dei membri o fungere da amministratore delegato di un'organizzazione integrata con. AWS Organizations Per un [account membro invitato manualmente, l'amministratore deve invitare l'account](account-management-manual.md) dalla regione di origine e da tutte le regioni collegate affinché l'aggregazione tra le regioni funzioni. Inoltre, l'account membro deve avere il Security Hub CSPM abilitato nella regione di origine e in tutte le regioni collegate per consentire all'amministratore di visualizzare i risultati dell'account membro. Se non utilizzi la regione d'origine per altri scopi, puoi disabilitare gli standard e le integrazioni CSPM di Security Hub in quella regione per evitare addebiti.

Se prevedi di utilizzare l'aggregazione tra regioni e disponi di più account amministratore, ti consigliamo di seguire queste best practice:
+ Ogni account amministratore ha account membri diversi.
+ Ogni account amministratore ha gli stessi account membro in tutte le regioni.
+ Ogni account amministratore utilizza una regione di residenza diversa.

**Nota**  
Per comprendere in che modo l'aggregazione interregionale influisce sulla configurazione centrale, consulta. [Impatto della configurazione centrale sull'aggregazione tra regioni](aggregation-central-configuration.md)

# Impatto della configurazione centrale sull'aggregazione tra regioni
<a name="aggregation-central-configuration"></a>

La configurazione centrale è una funzionalità opzionale di AWS Security Hub CSPM che puoi utilizzare se esegui l'integrazione con. AWS Organizations Se si utilizza la configurazione centrale, l'account amministratore delegato può configurare il servizio CSPM, gli standard e i controlli di Security Hub per gli account e le unità organizzative (OU) dell'organizzazione. Per configurare gli account e OUs, l'amministratore delegato crea politiche di configurazione CSPM di Security Hub. Le policy di configurazione possono essere utilizzate per definire se Security Hub CSPM è abilitato o disabilitato e quali standard e controlli sono abilitati. L'amministratore delegato associa le politiche di configurazione a account specifici o alla radice (l'intera organizzazione). OUs

L'amministratore delegato può creare e gestire le politiche di configurazione per l'organizzazione solo dalla regione di origine. Inoltre, le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che si applichi solo in alcune regioni collegate e non in altre. Per informazioni sull'aggregazione tra regioni, consulta Aggregazione [tra](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) regioni.

Per utilizzare la configurazione centrale, è necessario designare una regione di residenza. Facoltativamente, puoi scegliere una o più regioni come regioni collegate. Puoi anche scegliere di designare una regione d'origine senza alcuna regione collegata.

La modifica delle impostazioni di aggregazione tra regioni può influire sulle politiche di configurazione. Quando aggiungi una regione collegata, le tue politiche di configurazione hanno effetto in quella regione. Se la Regione è una [regione opzionale](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html), deve essere abilitata affinché le politiche di configurazione abbiano effetto in quella regione. Al contrario, quando rimuovi una regione collegata, le politiche di configurazione non hanno più effetto in quella regione. In quella regione, gli account mantengono le impostazioni che avevano quando la regione collegata è stata rimossa. È possibile modificare tali impostazioni, ma è necessario farlo separatamente in ogni account e regione.

Se si rimuove o si modifica la regione di origine, i criteri di configurazione e le associazioni di criteri vengono eliminati. Non è più possibile utilizzare la configurazione centrale o creare politiche di configurazione in nessuna regione. Gli account mantengono le impostazioni che avevano prima che la regione di origine venisse modificata o rimossa. È possibile modificare tali impostazioni in qualsiasi momento, ma poiché non si utilizza più la configurazione centrale, le impostazioni devono essere modificate separatamente in ogni account e regione. È possibile utilizzare la configurazione centrale e creare nuovamente politiche di configurazione se si designa una nuova regione di residenza.

Per ulteriori informazioni sulla configurazione centrale, vedere[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

# Abilitazione dell'aggregazione tra regioni
<a name="finding-aggregation-enable"></a>

**Nota**  
*La regione di *aggregazione è ora denominata regione* di origine.* Alcune operazioni dell'API CSPM di Security Hub utilizzano ancora la regione di aggregazione con termini precedenti.

È necessario abilitare l'aggregazione tra le regioni dalla regione Regione AWS che si desidera designare come area di origine.

Per abilitare l'aggregazione tra regioni, si crea una risorsa CSPM Security Hub denominata aggregatore di ricerca. La risorsa Finding Aggregator specifica la tua regione di origine e le regioni collegate (se presenti).

Non puoi utilizzare una regione Regione AWS disattivata per impostazione predefinita come regione d'origine. Per un elenco delle regioni disattivate per impostazione predefinita, vedi [Abilitazione di una regione](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in *Riferimenti generali di AWS*.

Quando abiliti l'aggregazione tra regioni, scegli di specificare una o più regioni collegate, se lo desideri. Puoi anche scegliere se collegare automaticamente le nuove regioni quando Security Hub CSPM inizia a supportarle e le hai accettate.

------
#### [ Security Hub CSPM console ]

**Per abilitare l'aggregazione tra regioni**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Utilizzando il Regione AWS selettore, accedi alla regione che desideri utilizzare come regione di aggregazione.

1. **Nel menu di navigazione CSPM di Security Hub, scegli **Impostazioni** e poi Regioni.**

1. Per **Finding aggregation, scegli **Configura** aggregazione** di risultati.

   Per impostazione predefinita, la regione principale è impostata su **Nessuna regione di aggregazione**.

1. In **Regione di aggregazione**, seleziona l'opzione per designare la regione corrente come regione di origine.

1. Facoltativamente, per **Regioni collegate, seleziona le Regioni** da cui aggregare i dati.

1. **Per aggregare automaticamente i dati provenienti da nuove regioni nella partizione in quanto Security Hub CSPM le supporta e tu le accetti, seleziona Collega regioni future.**

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

Dalla regione che desideri utilizzare come regione principale, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)

Per `RegionLinkingMode`, scegliere una delle seguenti opzioni:
+ `ALL_REGIONS`— Security Hub CSPM aggrega i dati di tutte le regioni. Security Hub CSPM aggrega anche i dati provenienti da nuove regioni man mano che sono supportate e l'utente le accetta.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`— Security Hub CSPM aggrega i dati di tutte le regioni ad eccezione delle regioni che si desidera escludere. Security Hub CSPM aggrega anche i dati provenienti da nuove regioni man mano che sono supportate e l'utente le accetta. Utilizzare `Regions` per fornire l'elenco delle regioni da escludere dall'aggregazione.
+ `SPECIFIED_REGIONS`— Security Hub CSPM aggrega i dati da un elenco selezionato di regioni. Security Hub CSPM non aggrega automaticamente i dati provenienti da nuove regioni. `Regions`Da utilizzare per fornire l'elenco delle regioni da cui eseguire l'aggregazione.
+ `NO_REGIONS`— Security Hub CSPM non aggrega i dati perché non selezioni alcuna regione collegata.

L'esempio seguente configura l'aggregazione tra regioni. La regione di origine è Stati Uniti orientali (Virginia settentrionale). Le regioni collegate sono Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon). Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Revisione delle impostazioni di aggregazione tra regioni
<a name="finding-aggregation-view-config"></a>

**Nota**  
La *regione di aggregazione* è ora denominata *regione di origine.* Alcune operazioni dell'API CSPM di Security Hub utilizzano ancora la regione di aggregazione con termini precedenti.

È possibile visualizzare l'attuale configurazione di aggregazione interregionale in AWS Security Hub CSPM da qualsiasi. Regione AWS La configurazione include la regione principale, le regioni collegate (se presenti) e se collegare automaticamente le nuove regioni poiché Security Hub CSPM le supporta.

Gli account membro possono visualizzare le impostazioni di aggregazione tra le regioni configurate dall'account amministratore.

Scegli il tuo metodo preferito e segui i passaggi per visualizzare le impostazioni correnti di aggregazione tra le regioni.

------
#### [ Security Hub CSPM console ]

**Per visualizzare le impostazioni di aggregazione tra regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi la scheda **Regioni**.

Se l'aggregazione tra regioni non è abilitata, nella scheda **Regioni viene visualizzata l'opzione per abilitare l'aggregazione tra regioni**. Solo gli account amministratore e gli account autonomi possono abilitare l'aggregazione tra regioni.

Se l'aggregazione tra regioni è abilitata, la scheda **Regioni visualizza le seguenti** informazioni:
+ La regione di origine
+ Se aggregare automaticamente risultati, approfondimenti, stati di controllo e punteggi di sicurezza provenienti da nuove regioni supportate da Security Hub CSPM e per le quali hai scelto di aderire
+ L'elenco delle regioni collegate (se selezionate)

------
#### [ Security Hub CSPM API ]

**Per esaminare le impostazioni di aggregazione tra regioni (API CSPM Security Hub)**

Utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)

Quando effettui la richiesta, fornisci l'ARN dell'aggregatore di ricerca. Per ottenere l'ARN dell'aggregatore di ricerca, utilizzare l'operazione o [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)il comando [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

L'esempio seguente mostra le impostazioni di aggregazione tra regioni per l'ARN dell'aggregatore di ricerca specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di riga rovesciata (\$1) per migliorare la leggibilità

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# Aggiornamento delle impostazioni di aggregazione tra regioni
<a name="finding-aggregation-update"></a>

**Nota**  
La *regione di aggregazione* è ora denominata *regione di origine.* Alcune operazioni dell'API CSPM di Security Hub utilizzano ancora la regione di aggregazione con termini precedenti.

Puoi aggiornare le impostazioni correnti di aggregazione interregionale in AWS Security Hub CSPM modificando le Regioni collegate o la regione principale corrente. Puoi anche modificare se aggregare automaticamente i dati dai nuovi in Regioni AWS cui è supportato Security Hub CSPM.

Le modifiche all'aggregazione tra aree geografiche non vengono implementate per una regione opt-in finché non abiliti la regione nella tua. Account AWS Le regioni AWS introdotte a partire dal 20 marzo 2019 o in data successiva sono regioni opzionali.

Quando interrompi l'aggregazione dei dati da una regione collegata, AWS Security Hub CSPM non rimuove alcun dato aggregato esistente da quella regione accessibile nella regione di origine.

Non è possibile utilizzare le procedure di aggiornamento in questa sezione per modificare la regione di origine. Per cambiare la regione d'origine, devi fare quanto segue:

1. Interrompi l'aggregazione tra regioni. Per istruzioni, consulta [Interruzione dell'aggregazione tra regioni](finding-aggregation-stop.md).

1. Passa alla regione che desideri utilizzare come nuova regione di origine.

1. Abilita l'aggregazione tra regioni. Per istruzioni, consulta [Abilitazione dell'aggregazione tra regioni](finding-aggregation-enable.md).

È necessario aggiornare la configurazione di aggregazione tra regioni dalla regione principale corrente.

------
#### [ Security Hub CSPM console ]

**Per modificare le regioni collegate**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi alla regione di aggregazione corrente.

1. **Nel menu di navigazione CSPM di Security Hub, scegli **Impostazioni**, quindi scegli Regioni.**

1. **Per **Trovare l'aggregazione, scegli Modifica**.**

1. Per le **regioni collegate**, aggiorna le aree collegate selezionate.

1. Se necessario, cambia se è selezionata l'opzione **Collega regioni future**. Questa impostazione determina se Security Hub CSPM collega automaticamente le nuove regioni man mano che ne aggiunge il supporto e l'utente le accetta.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

Usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html) Se usi il AWS CLI, esegui il [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)comando. Per identificare l'aggregatore di risultati, è necessario fornire l'ARN dell'aggregatore di risultati. Per ottenere l'ARN dell'aggregatore di ricerca, utilizzare l'operazione o [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)il comando.. [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)

Se la modalità di collegamento è `ALL_REGIONS_EXCEPT_SPECIFIED` o`SPECIFIED_REGIONS`, è possibile modificare l'elenco delle regioni escluse o incluse. Se desideri modificare la modalità di collegamento delle regioni in`NO_REGIONS`, non dovresti fornire un elenco di regioni.

Quando modifichi l'elenco delle regioni escluse o incluse, devi fornire l'elenco completo con gli aggiornamenti. Ad esempio, supponiamo che attualmente tu voglia aggregare i risultati degli Stati Uniti orientali (Ohio) e di voler aggregare anche i risultati degli Stati Uniti occidentali (Oregon). È necessario fornire un `Regions` elenco che contenga sia Stati Uniti orientali (Ohio) che Stati Uniti occidentali (Oregon).

L'esempio seguente aggiorna l'aggregazione tra regioni alle regioni selezionate. Il comando viene eseguito dalla regione di origine corrente, che è Stati Uniti orientali (Virginia settentrionale). Le regioni collegate sono Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon). Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Interruzione dell'aggregazione tra regioni
<a name="finding-aggregation-stop"></a>

**Nota**  
*La *regione di aggregazione* è ora denominata regione principale.* Alcune operazioni dell'API CSPM di Security Hub utilizzano ancora la regione di aggregazione con termini precedenti.

Se non desideri che AWS Security Hub CSPM aggreghi i dati, puoi eliminare il tuo aggregatore di risultati. In alternativa, puoi mantenere l'aggregatore di risultati ma non collegarne nessuno Regioni AWS alla regione di origine aggiornando l'aggregatore esistente alla modalità di collegamento. `NO_REGIONS`

Per cambiare la tua regione di residenza, devi eliminare l'attuale aggregatore di risultati e crearne uno nuovo.

Quando elimini il tuo aggregatore di risultati, Security Hub CSPM interrompe l'aggregazione dei dati. Non rimuove alcun dato aggregato esistente dalla regione di origine.

## Eliminazione dell'aggregatore di ricerca (console)
<a name="finding-aggregation-stop-console"></a>

Puoi eliminare l'aggregatore di risultati solo dalla regione di residenza corrente.

Nelle regioni diverse dalla regione di origine, il pannello di **aggregazione Finding** sulla console CSPM di Security Hub visualizza un messaggio che indica che è necessario modificare la configurazione nella regione di origine. Scegli questo messaggio per visualizzare un collegamento per passare alla regione d'origine.

------
#### [ Security Hub CSPM console ]

**Per interrompere l'aggregazione tra regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Assicurati di aver effettuato l'accesso alla tua regione di residenza attuale.

1. **Nel menu di navigazione CSPM di Security Hub, scegli **Impostazioni**, quindi scegli Regioni.**

1. **In **Ricerca di aggregazione, scegli Modifica**.**

1. In Regione di **aggregazione, scegli Nessuna regione** **di aggregazione**.

1. Scegli **Save** (Salva).

1. Nella finestra di dialogo di conferma, nel campo di conferma, digita. **Confirm**

1. Scegli **Conferma**.

------
#### [ Security Hub CSPM API ]

Utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html)funzionamento dell'API CSPM Security Hub. Se stai usando AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)

Per identificare l'aggregatore di risultati da eliminare, fornisci l'ARN dell'aggregatore di risultati. Per ottenere l'ARN dell'aggregatore di ricerca, utilizzare l'operazione o [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

L'esempio seguente elimina l'aggregatore di ricerca. Il comando viene eseguito dalla regione di origine corrente, ovvero Stati Uniti orientali (Virginia settentrionale). Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Comprensione degli standard di sicurezza in Security Hub CSPM
<a name="standards-view-manage"></a>

In AWS Security Hub CSPM, uno *standard di sicurezza* è un insieme di requisiti basati su quadri normativi, best practice del settore o politiche aziendali. Per i dettagli sugli standard attualmente supportati da Security Hub CSPM, inclusi i controlli di sicurezza che si applicano a ciascuno di essi, vedere il. [Riferimento agli standard per Security Hub CSPM](standards-reference.md)

Quando abiliti uno standard, Security Hub CSPM abilita automaticamente tutti i controlli che si applicano allo standard. Security Hub CSPM esegue quindi controlli di sicurezza sui controlli, che generano i risultati CSPM di Security Hub. È possibile disabilitare e riattivare successivamente i singoli controlli, se necessario. È inoltre possibile disabilitare completamente uno standard. Se disabiliti uno standard, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza sui controlli che si applicano allo standard. I risultati non vengono più generati per i controlli.

Oltre ai risultati, Security Hub CSPM genera un punteggio di sicurezza per ogni standard abilitato. Il punteggio si basa sullo stato dei controlli che si applicano allo standard. Se imposti una regione di aggregazione, il punteggio di sicurezza per uno standard riflette lo stato dei controlli in tutte le regioni collegate. Se sei l'amministratore CSPM di Security Hub per un'organizzazione, il punteggio riflette lo stato dei controlli per tutti gli account dell'organizzazione. Per ulteriori informazioni, consulta [Calcolo dei punteggi di sicurezza](standards-security-score.md).

Per rivedere e gestire gli standard, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub. Sulla console, la pagina **degli standard di sicurezza** mostra tutti gli standard di sicurezza attualmente supportati da Security Hub CSPM. Ciò include una descrizione di ogni standard e lo stato attuale dello standard. Se abiliti uno standard, puoi utilizzare questa pagina anche per accedere a dettagli aggiuntivi sullo standard. Ad esempio, puoi rivedere:
+ Il punteggio di sicurezza attuale dello standard.
+ Statistiche aggregate per i controlli che si applicano allo standard.
+ Un elenco di controlli che si applicano allo standard e che sono attualmente abilitati, incluso lo stato di conformità di ciascuno di essi.
+ Un elenco di controlli che si applicano allo standard ma che sono attualmente disabilitati.

Per un'analisi più approfondita, puoi filtrare e ordinare i dati e approfondire i dettagli dei singoli controlli che si applicano allo standard.

È possibile abilitare gli standard singolarmente per un singolo account e Regione AWS. Tuttavia, per risparmiare tempo e ridurre le variazioni di configurazione in ambienti con più account e più regioni, consigliamo di utilizzare la [configurazione centrale](central-configuration-intro.md) per abilitare e gestire gli standard. Con la configurazione centralizzata, l'amministratore delegato di Security Hub CSPM può creare politiche che specificano come configurare uno standard su più account e regioni.

**Topics**
+ [Riferimento agli standard](standards-reference.md)
+ [Abilitazione di uno standard](enable-standards.md)
+ [Revisione dei dettagli di uno standard](securityhub-standards-view-controls.md)
+ [Disattivazione degli standard con attivazione automatica](securityhub-auto-enabled-standards.md)
+ [Disabilitazione di uno standard](disable-standards.md)

# Riferimento agli standard per Security Hub CSPM
<a name="standards-reference"></a>

In AWS Security Hub CSPM, uno *standard di sicurezza* è un insieme di requisiti basati su quadri normativi, best practice del settore o politiche aziendali. Security Hub CSPM associa questi requisiti ai controlli ed esegue controlli di sicurezza sui controlli per valutare se i requisiti di uno standard sono soddisfatti. Ogni standard include più controlli.

Security Hub CSPM attualmente supporta i seguenti standard:
+ **AWS Best practice di sicurezza di base**: sviluppato da AWS professionisti del settore, questo standard è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni. Fornisce una serie di controlli che rilevano quando le tue Account AWS risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza.
+ **AWS Etichettatura delle risorse**: sviluppato da Security Hub CSPM, questo standard può aiutarti a determinare se AWS le tue risorse dispongono di tag. Un *tag* è una coppia chiave-valore che funge da metadati per una risorsa. AWS I tag possono aiutarti a identificare, classificare, gestire e cercare risorse. AWS Ad esempio, puoi utilizzare i tag per classificare le risorse in base allo scopo, al proprietario o all'ambiente.
+ **CIS AWS Foundations Benchmark** — Sviluppato dal Center for Internet Security (CIS), questo standard fornisce linee guida di configurazione sicure per. AWS Specifica una serie di linee guida e best practice per la configurazione della sicurezza per un sottoinsieme di risorse, con particolare attenzione alle impostazioni di base, verificabili Servizi AWS e indipendenti dall'architettura. Le linee guida includono procedure chiare di implementazione e valutazione. step-by-step
+ **NIST SP 800-53 Revisione 5** — Questo standard è in linea con i requisiti del National Institute of Standards and Technology (NIST) per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. Il quadro associato si applica generalmente alle agenzie o alle organizzazioni federali degli Stati Uniti che collaborano con le agenzie federali o i sistemi di informazione degli Stati Uniti. Tuttavia, le organizzazioni private possono utilizzare i requisiti anche come quadro guida.
+ **NIST SP 800-171 Revisione 2**: questo standard è in linea con le raccomandazioni e i requisiti di sicurezza del NIST per proteggere la riservatezza delle informazioni controllate non classificate (CUI) in sistemi e organizzazioni che non fanno parte del governo federale degli Stati Uniti. Le *CUI* sono informazioni che non soddisfano i criteri di classificazione governativi, ma sono considerate sensibili e sono create o possedute dal governo federale degli Stati Uniti o da altre entità per conto del governo federale degli Stati Uniti.
+ **PCI DSS**: questo standard si allinea al framework di conformità PCI DSS (Payment Card Industry Data Security Standard) definito dal PCI Security Standards Council (SSC). Il framework fornisce una serie di regole e linee guida per la gestione sicura dei dati delle carte di credito e di debito. Il framework si applica generalmente alle organizzazioni che archiviano, elaborano o trasmettono i dati dei titolari di carte.
+ **Standard gestito dal servizio, AWS Control Tower** — Questo standard consente di configurare i controlli di rilevamento forniti da Security Hub CSPM. AWS Control Tower AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS multi-account, seguendo le migliori pratiche prescrittive.

Gli standard e i controlli CSPM di Security Hub non garantiscono la conformità a nessun quadro normativo o controllo. Al contrario, forniscono un modo per valutare e monitorare lo stato delle vostre risorse. Account AWS Ti consigliamo di abilitare ogni standard pertinente alle tue esigenze aziendali, al tuo settore o al tuo caso d'uso.

I singoli controlli possono essere applicati a più di uno standard. Se abiliti più standard, ti consigliamo di abilitare anche i risultati di controllo consolidati. In tal caso, Security Hub CSPM genera un singolo risultato per ogni controllo, anche se il controllo si applica a più di uno standard. Se non attivi i risultati del controllo consolidato, Security Hub CSPM genera un risultato separato per ogni standard abilitato a cui si applica un controllo. Ad esempio, se si abilitano due standard e un controllo si applica a entrambi, si ottengono due risultati distinti per il controllo, uno per ogni standard. Se si abilitano i risultati del controllo consolidato, si riceve un solo risultato per il controllo. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Le migliori pratiche di sicurezza di base](fsbp-standard.md)
+ [AWS Etichettatura delle risorse](standards-tagging.md)
+ [Benchmark CIS AWS Foundations](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisione 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisione 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Standard gestiti dai servizi](service-managed-standards.md)

# AWS Standard di best practice di sicurezza di base in Security Hub CSPM
<a name="fsbp-standard"></a>

Sviluppato da AWS professionisti del settore, lo standard AWS Foundational Security Best Practices (FSBP) è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni dell'organizzazione. Fornisce una serie di controlli che rilevano quando Account AWS e le risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza dell'organizzazione.

In AWS Security Hub CSPM, lo standard AWS Foundational Security Best Practices include controlli che valutano continuamente i tuoi carichi di lavoro Account AWS e ti aiutano a identificare le aree che si discostano dalle migliori pratiche di sicurezza. I controlli includono le migliori pratiche di sicurezza per risorse provenienti da più fonti. Servizi AWS A ogni controllo viene assegnata una categoria che riflette la funzione di sicurezza a cui si applica il controllo. Per un elenco di categorie e dettagli aggiuntivi, vedere[Categorie di controllo](control-categories.md).

## Controlli che si applicano allo standard
<a name="fsbp-controls"></a>

L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Foundational Security Best Practices (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.

 [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 

 [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 

 [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 

 [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 

 [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 

 [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 

 [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 

 [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 

 [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 

 [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 

 [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 

 [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 

 [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 

 [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 

 [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 

 [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 

 [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 

 [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 

 [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3) 

 [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 

 [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) 

 [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16) 

 [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18) 

 [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 

 [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 

 [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 

 [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 

 [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)

[[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 

 [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 

 [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 

 [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 

 [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 

 [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 

 [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 

 [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 

 [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 

 [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 

 [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 

 [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 

 [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 

 [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 

 [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 

 [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 

 [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 

 [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 

 [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 

 [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 

 [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 

 [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 

 [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 

 [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 

 [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 

 [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 

 [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 

 [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4) 

 [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5) 

 [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6) 

 [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 

 [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 

 [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 

 [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 

 [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 

 [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 

 [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 

 [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 

 [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 

 [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 

 [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 

 [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 

 [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 

 [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 

 [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 

 [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 

 [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 

 [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 

 [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 

 [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 

 [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 

 [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 

 [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 

 [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 

 [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 

 [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 

 [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 

 [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 

 [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 

 [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 

 [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 

 [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) 

 [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 

 [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 

 [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 

 [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 

 [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 

 [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 

 [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 

 [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 

 [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 

 [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 

 [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 

 [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 

 [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 

 [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 

 [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 

 [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 

 [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 

 [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 

 [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 

 [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 

 [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 

 [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 

 [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 

 [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 

 [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 

 [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5) 

 [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6) 

 [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 

 [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8) 

 [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10) 

 [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11) 

 [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 

 [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13) 

 [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 

 [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 

 [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 

 [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 

 [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 

 [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 

 [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 

 [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 

 [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 

 [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 

 [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 

 [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 

 [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 

 [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 

 [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 

 [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 

 [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 

 [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 

 [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 

 [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 

 [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 

 [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 

 [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 

 [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 

 [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 

 [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 

 [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 

 [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 

 [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 

 [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 

 [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) 

 [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 

 [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9) 

 [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 

 [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 

 [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 

 [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 

 [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 

 [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 

 [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 

 [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 

 [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 

 [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 

 [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 

 [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 

 [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 

 [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 

 [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 

 [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 

 [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 

 [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 

 [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 

 [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

# AWS Standard di etichettatura delle risorse in Security Hub CSPM
<a name="standards-tagging"></a>

Lo standard AWS Resource Tagging, sviluppato da AWS Security Hub CSPM, ti aiuta a determinare se nelle tue AWS risorse mancano dei tag. I *tag* sono coppie chiave-valore che fungono da metadati per l'organizzazione delle risorse. AWS Con la maggior parte AWS delle risorse, è possibile aggiungere tag a una risorsa al momento della creazione della risorsa o dopo averla creata. Esempi di risorse includono le CloudFront distribuzioni Amazon, le istanze Amazon Elastic Compute Cloud (Amazon EC2) e i segreti in. Gestione dei segreti AWS I tag possono aiutarti a gestire, identificare, organizzare, cercare e filtrare le risorse. AWS 

Ogni tag è costituito da due parti:
+ Una chiave di tag, ad esempio `CostCenter``Environment`, o. `Project` Le chiavi tag distinguono tra maiuscole e minuscole.
+ Un valore di tag, ad esempio o. `111122223333` `Production` Come le chiavi dei tag, i valori dei tag distinguono tra maiuscole e minuscole.

È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Per informazioni sull'aggiunta di tag alle AWS risorse, consulta la Guida per l'[utente di Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Per ogni controllo che si applica allo standard AWS Resource Tagging in Security Hub CSPM, puoi opzionalmente utilizzare il parametro supported per specificare le chiavi dei tag che desideri vengano controllate dal controllo. Se non specificate alcuna chiave di tag, il controllo verifica solo l'esistenza di almeno una chiave di tag e fallisce se una risorsa non ha alcuna chiave di tag.

Prima di abilitare lo standard AWS Resource Tagging, è importante abilitare e configurare la registrazione delle risorse in AWS Config. Quando configurate la registrazione delle risorse, assicuratevi anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard. Per ulteriori informazioni, incluso un elenco dei tipi di risorse da registrare, vedere. [ AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md)

Dopo aver abilitato lo standard AWS Resource Tagging, iniziate a ricevere i risultati dei controlli che si applicano allo standard. Tieni presente che possono essere necessarie fino a 18 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli che si applicano ad altri standard abilitati. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Lo standard AWS Resource Tagging ha il seguente Amazon Resource Name (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* dove si trova il codice regionale applicabile. Regione AWS Puoi anche utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub per recuperare l'ARN di uno standard attualmente abilitato.

**Nota**  
Lo [standard AWS Resource Tagging](#standards-tagging) non è disponibile nelle regioni Asia Pacifico (Nuova Zelanda) e Asia Pacifico (Taipei).

## Controlli che si applicano allo standard
<a name="tagging-standard-controls"></a>

L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Resource Tagging (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.
+ [[ACM.3] I certificati ACM devono essere etichettati](acm-controls.md#acm-3)
+ [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1)
+ [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1)
+ [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4)
+ [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2)
+ [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3)
+ [[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2)
+ [I AWS Backup vault [Backup.3] devono essere etichettati](backup-controls.md#backup-3)
+ [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4)
+ [[Backup.5] i piani di AWS Backup backup devono essere etichettati](backup-controls.md#backup-5)
+ [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1)
+ [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2)
+ [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3)
+ [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation gli stack devono essere etichettati](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] i percorsi devono essere etichettati CloudTrail](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2)
+ [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1)
+ [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2)
+ [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3)
+ [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4)
+ [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5)
+ [[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-33)
+ [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34)
+ [[EC2.35] Le interfacce di rete EC2 devono essere etichettate](ec2-controls.md#ec2-35)
+ [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36)
+ [[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati](ec2-controls.md#ec2-37)
+ [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38)
+ [[EC2.39] I gateway Internet EC2 devono essere etichettati](ec2-controls.md#ec2-39)
+ [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40)
+ [[EC2.41] La rete EC2 deve essere etichettata ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Le tabelle di routing EC2 devono essere etichettate](ec2-controls.md#ec2-42)
+ [[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati](ec2-controls.md#ec2-43)
+ [[EC2.44] Le sottoreti EC2 devono essere etichettate](ec2-controls.md#ec2-44)
+ [[EC2.45] I volumi EC2 devono essere etichettati](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs dovrebbe essere taggato](ec2-controls.md#ec2-46)
+ [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47)
+ [[EC2.48] I log di flusso di Amazon VPC devono essere etichettati](ec2-controls.md#ec2-48)
+ [[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate](ec2-controls.md#ec2-49)
+ [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50)
+ [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52)
+ [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174)
+ [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175)
+ [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176)
+ [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177)
+ [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178)
+ [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179)
+ [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4)
+ [[ECS.13] I servizi ECS devono essere etichettati](ecs-controls.md#ecs-13)
+ [[ECS.14] I cluster ECS devono essere etichettati](ecs-controls.md#ecs-14)
+ [[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate](ecs-controls.md#ecs-15)
+ [[EFS.5] I punti di accesso EFS devono essere etichettati](efs-controls.md#efs-5)
+ [[EKS.6] I cluster EKS devono essere etichettati](eks-controls.md#eks-6)
+ [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7)
+ [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9)
+ [[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23)
+ [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24)
+ [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25)
+ [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1)
+ [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2)
+ [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3)
+ [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4)
+ [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6)
+ [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1)
+ [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2)
+ [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Gli stream Kinesis devono essere etichettati](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6)
+ [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate](networkfirewall-controls.md#networkfirewall-8)
+ [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2)
+ [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28)
+ [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29)
+ [[RDS.30] Le istanze DB RDS devono essere etichettate](rds-controls.md#rds-30)
+ [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31)
+ [[RDS.32] Gli snapshot RDS DB devono essere etichettati](rds-controls.md#rds-32)
+ [[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati](rds-controls.md#rds-33)
+ [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11)
+ [[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate](redshift-controls.md#redshift-12)
+ [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13)
+ [[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-14)
+ [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17)
+ [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1)
+ [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1)
+ [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2)
+ [[SNS.3] Gli argomenti SNS devono essere etichettati](sns-controls.md#sns-3)
+ [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2)
+ [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2)
+ [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1)
+ [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4)
+ [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5)
+ [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6)
+ [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7)

# Benchmark CIS AWS Foundations nel Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Il benchmark Center for Internet Security (CIS) AWS Foundations funge da set di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore forniscono procedure chiare di implementazione e valutazione. step-by-step Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, i controlli di questo benchmark aiutano a proteggere i sistemi specifici utilizzati dall'organizzazione. 

AWS Security Hub CSPM supporta le versioni CIS AWS Foundations Benchmark 5.0.0, 3.0.0, 1.4.0 e 1.2.0. Questa pagina elenca i controlli di sicurezza supportati da ciascuna versione. Fornisce inoltre un confronto tra le versioni.

## CIS AWS Foundations Benchmark versione 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM supporta la versione 5.0.0 (v5.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v5.0.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v5.0.0, livello 2 AWS 

### Controlli che si applicano alla versione 5.0.0 di CIS Foundations Benchmark AWS
<a name="cis5v0-controls"></a>

[[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)

[[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)

[[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)

[[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)

[[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8)

[[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)

[[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)

[[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)

[[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

## AWS CIS Foundations Benchmark versione 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM supporta la versione 3.0.0 (v3.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 2 AWS 

### Controlli che si applicano alla versione 3.0.0 di CIS Foundations Benchmark AWS
<a name="cis3v0-controls"></a>

[[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)

[[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)

[[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)

[[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)

[[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)

[[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

## AWS CIS Foundations Benchmark versione 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM supporta la versione 1.4.0 (v1.4.0) del benchmark CIS Foundations. AWS 

### Controlli che si applicano alla versione 1.4.0 di CIS Foundations Benchmark AWS
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 

 [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 

 [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 

 [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 

 [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

 [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 

 [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 

## CIS Foundations Benchmark versione AWS 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM supporta la versione 1.2.0 (v1.2.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 2 AWS 

### Controlli che si applicano alla versione 1.2.0 di CIS Foundations Benchmark AWS
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 

 [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 

 [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 

 [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 

 [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 

 [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 

 [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 

 [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 

 [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

## Confronto delle versioni per CIS Foundations Benchmark AWS
<a name="cis1.4-vs-cis1.2"></a>

Questa sezione riassume le differenze tra le versioni specifiche del Center for Internet Security (CIS) AWS Foundations Benchmark: v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS Security Hub CSPM supporta ognuna di queste versioni del benchmark CIS Foundations AWS . Tuttavia, consigliamo di utilizzare la versione 5.0.0 per rimanere aggiornati sulle migliori pratiche di sicurezza. È possibile abilitare contemporaneamente più versioni degli standard CIS AWS Foundations Benchmark. Per informazioni sull'abilitazione degli standard, vedere. [Abilitazione di uno standard di sicurezza](enable-standards.md) Se desideri eseguire l'aggiornamento alla versione 5.0.0, abilitalo prima di disabilitare una versione precedente. In questo modo si evitano lacune nei controlli di sicurezza. [Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e desideri abilitare in batch la v5.0.0 in più account, ti consigliamo di utilizzare la configurazione centrale.](central-configuration-intro.md)

### Mappatura dei controlli ai requisiti CIS in ogni versione
<a name="cis-version-comparison"></a>

Scopri quali controlli supporta ogni versione di CIS AWS Foundations Benchmark.


| ID e titolo di controllo | Requisito CIS v5.0.0 | Requisito CIS v3.0.0 | Requisito CIS v1.4.0 | Requisito CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  3.1  | 
|  [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  3.2  | 
|  [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.10  |  3,10  | 
|  [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.11  |  3,11  | 
|  [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.12  |  3,12  | 
|  [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.14  |  3,14  | 
|  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Non supportata  | 
|  [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Non supportata  |  Non supportata  | 
|  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  |  Non supportato: sostituito dai requisiti 5.3 e 5.4  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  4.1  | 
|  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)  |  Non supportato: sostituito dai requisiti 5.3 e 5.4  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  4.2  | 
|  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Non supportata  | 
|  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Non supportata  |  Non supportata  | 
|  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Non supportata  |  Non supportata  | 
|  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Non supportata  |  Non supportata  | 
|  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8)  |  2.3.1  |  Non supportata  |  Non supportata  |  Non supportata  | 
|  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)  |  Non supportata   |  Non supportata   |  1.16  |  1,22  | 
|  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Non supportata  |  1.16  | 
|  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)  |  Non supportato, vedi invece [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)  |  Non supportato, vedi [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) invece  |  Non supportato, vedi [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) invece  |  1.3  | 
|  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.5  | 
|  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.6  | 
|  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1,7  | 
|  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.8  | 
|  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.11  | 
|  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Evita l'uso dell'utente root](iam-controls.md#iam-20)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.1  | 
|  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)  |  1.18  |  1,19  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1,22  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)  |  1.19  |  1,20  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  | 
|  [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)  |  2.2.4  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)  |  2.2.4  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 

### ARNs per i benchmark di CIS Foundations AWS
<a name="cisv1.4.0-finding-fields"></a>

Quando abiliti una o più versioni del benchmark CIS AWS Foundations, inizi a ricevere i risultati nel AWS Security Finding Format (ASFF). In ASFF, ogni versione utilizza il seguente Amazon Resource Name (ARN):

**Benchmark CIS Foundations v5.0.0 AWS **  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark CIS AWS Foundations v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark CIS AWS Foundations v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark CIS Foundations v1.2.0 AWS **  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

È possibile utilizzare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub per trovare l'ARN di uno standard abilitato.

I valori precedenti sono per. `StandardsArn` Tuttavia, `StandardsSubscriptionArn` si riferisce alla risorsa di abbonamento standard che Security Hub CSPM crea quando ci si abbona a uno standard chiamando una [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)regione.

**Nota**  
Quando abiliti una versione di CIS AWS Foundations Benchmark, possono essere necessarie fino a 18 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli abilitati in altri standard abilitati. Per ulteriori informazioni sulla pianificazione per la generazione dei risultati del controllo, vedere. [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md)

I campi di ricerca sono diversi se si attivano i risultati di controllo consolidati. Per informazioni su queste differenze, vedere[Impatto del consolidamento sui campi e sui valori ASFF](asff-changes-consolidation.md). Per esempi di risultati di controllo, vedere[Esempi di risultati di controllo](sample-control-findings.md).

### Requisiti CIS non supportati in Security Hub CSPM
<a name="securityhub-standards-cis-checks-not-supported"></a>

Come indicato nella tabella precedente, Security Hub CSPM non supporta tutti i requisiti CIS in ogni versione del benchmark CIS Foundations. AWS Molti dei requisiti non supportati possono essere valutati solo esaminando manualmente lo stato delle risorse. AWS 

# NIST SP 800-53 Revisione 5 nel Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

La pubblicazione speciale NIST 800-53 Revisione 5 (NIST SP 800-53 Rev. 5) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce un catalogo di requisiti di sicurezza e privacy per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. Le agenzie e gli appaltatori del governo federale degli Stati Uniti devono rispettare questi requisiti per proteggere i propri sistemi e le proprie organizzazioni. Le organizzazioni private possono inoltre utilizzare volontariamente i requisiti come quadro guida per ridurre i rischi di sicurezza informatica. *Per ulteriori informazioni sul framework e sui relativi requisiti, vedere [NIST SP 800-53 Rev. 5 nel NIST Computer Security Resource Center.](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)*

AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-53 Revisione 5. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-53 Revision 5 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-53 Revisione 5 che richiedono controlli manuali.

A differenza di altri framework, il framework NIST SP 800-53 Revision 5 non è prescrittivo su come valutare i suoi requisiti. Invece, il framework fornisce delle linee guida. In Security Hub CSPM, lo standard e i controlli NIST SP 800-53 Revision 5 rappresentano la comprensione da parte del servizio di queste linee guida.

**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-53-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-53-controls)

## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
<a name="standards-reference-nist-800-53-recording"></a>

Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-53 Revisione 5 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. Questo è principalmente per i controlli che hanno un tipo di pianificazione *innescato dalla modifica*. Tuttavia, alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Se la registrazione delle risorse non è abilitata o configurata correttamente, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.

Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-53 Revision 5 in Security Hub CSPM.


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Gateway Amazon API  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servizio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  Gestione dei segreti AWS  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Determinare quali controlli si applicano allo standard
<a name="standards-reference-nist-800-53-controls"></a>

L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-53 Revisione 5 e si applicano allo standard NIST SP 800-53 Revisione 5 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 
+  [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 
+  [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) 
+  [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16) 
+  [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18) 
+  [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 
+  [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4) 
+  [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5) 
+  [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6) 
+  [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 
+  [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 
+  [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 
+  [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 
+  [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 
+  [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 
+  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 
+  [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 
+  [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5) 
+  [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6) 
+  [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 
+  [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8) 
+  [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10) 
+  [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11) 
+  [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 
+  [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 
+  [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 
+  [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 
+  [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 
+  [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 
+  [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 
+  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 
+  [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 
+  [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14) 
+  [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15) 
+  [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisione 2 nel Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

La pubblicazione speciale NIST 800-171 Revision 2 (NIST SP 800-171 Rev. 2) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza delle informazioni controllate non classificate in sistemi e organizzazioni che non fanno parte del governo federale degli Stati Uniti. *Le informazioni non classificate controllate*, note anche come *CUI*, sono informazioni sensibili che non soddisfano i criteri di classificazione governativi ma devono essere protette. Si tratta di informazioni considerate sensibili e create o possedute dal governo federale degli Stati Uniti o da altre entità per conto del governo federale degli Stati Uniti.

NIST SP 800-171 Rev. 2 fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza del CUI quando:
+ Le informazioni risiedono in sistemi e organizzazioni non federali,
+ L'organizzazione non federale non raccoglie o conserva informazioni per conto di un'agenzia federale né utilizza o gestisce un sistema per conto di un'agenzia, e 
+ Non esistono requisiti di salvaguardia specifici per proteggere la riservatezza del CUI prescritti dalla legge, dai regolamenti o dalla politica governativa che autorizza la categoria CUI elencata nel registro CUI. 

I requisiti si applicano a tutti i componenti dei sistemi e delle organizzazioni non federali che elaborano, archiviano o trasmettono i CUI o forniscono protezione di sicurezza per i componenti. Per ulteriori informazioni, vedere [NIST SP 800-171 Rev. 2 nel *NIST* Computer Security Resource Center.](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)

AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-171 Revisione 2. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-171 Revision 2 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-171 Revisione 2 che richiedono controlli manuali.

**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-171-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-171-controls)

## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
<a name="standards-reference-nist-800-171-recording"></a>

Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-171 Revision 2 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.

Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-171 Revision 2 in Security Hub CSPM.


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Gateway Amazon API | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Servizio Amazon Simple Storage (Amazon S3) | `AWS::S3::Bucket` | 
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinare quali controlli si applicano allo standard
<a name="standards-reference-nist-800-171-controls"></a>

L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-171 Revisione 2 e si applicano allo standard NIST SP 800-171 Revisione 2 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
+ [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
+ [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
+ [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20)
+ [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)
+ [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
+ [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
+ [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
+ [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)
+ [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)
+ [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
+ [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)

# PCI DSS nel Security Hub CSPM
<a name="pci-standard"></a>

Il Payment Card Industry Data Security Standard (PCI DSS) è un framework di conformità di terze parti che fornisce una serie di regole e linee guida per la gestione sicura dei dati delle carte di credito e di debito. Il PCI Security Standards Council (SSC) crea e aggiorna questo framework.

AWS Security Hub CSPM fornisce uno standard PCI DSS che può aiutarti a rimanere conforme a questo framework di terze parti. È possibile utilizzare questo standard per scoprire le vulnerabilità di sicurezza nelle risorse che gestiscono i dati dei titolari di carta. AWS Si consiglia di abilitare questo standard in presenza di risorse Account AWS che archiviano, elaborano o trasmettono dati dei titolari di carta o dati di autenticazione sensibili. Le valutazioni del PCI SSC hanno convalidato questo standard.

Security Hub CSPM offre supporto sia per PCI DSS v3.2.1 che per PCI DSS v4.0.1. Ti consigliamo di utilizzare la versione 4.0.1 per rimanere aggiornato sulle migliori pratiche di sicurezza. Puoi avere entrambe le versioni dello standard abilitate contemporaneamente. Per informazioni sull'abilitazione degli standard, vedere[Abilitazione di uno standard di sicurezza](enable-standards.md). Se attualmente utilizzi la versione 3.2.1 ma desideri utilizzare solo la versione 4.0.1, abilita la versione più recente prima di disabilitare la versione precedente. In questo modo si evitano lacune nei controlli di sicurezza. Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e desideri abilitare in batch la v4.0.1 in più account, ti consigliamo di utilizzare la [configurazione centrale](central-configuration-intro.md) per farlo.

Le seguenti sezioni specificano quali controlli si applicano a PCI DSS v3.2.1 e PCI DSS v4.0.1.

## Controlli che si applicano a PCI DSS v3.2.1
<a name="pci-controls"></a>

L'elenco seguente specifica quali controlli CSPM di Security Hub si applicano a PCI DSS v3.2.1. Per esaminare i dettagli di un controllo, scegli il controllo.

 [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 

 [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 

 [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 

 [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

 [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 

 [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 

 [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 

 [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 

 [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 

 [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 

 [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 

 [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 

## Controlli che si applicano a PCI DSS v4.0.1
<a name="pci4-controls"></a>

L'elenco seguente specifica quali controlli CSPM di Security Hub si applicano a PCI DSS v4.0.1. Per esaminare i dettagli di un controllo, scegli il controllo.

[[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)

[[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2)

[[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2)

[[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3)

[[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)

[[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10)

[[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11)

[[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12)

[[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6)

[[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7)

[[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8)

[[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9)

[[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)

[[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)

[[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15)

[[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)

[[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25)

[[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1)

[[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16)

[[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2)

[[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8)

[[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4)

[[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1)

[[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)

[[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3)

[[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)

[[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14)

[[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)

[[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)

[[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)

[[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)

[[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2)

[[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)

[[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3)

[[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5)

[[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)

[[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)

[[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)

[[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)

[[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)

[[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1)

[[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2)

[[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3)

[[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)

[[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)

[[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2)

[[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3)

[[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1)

[[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3)

[[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3)

[Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10)

[I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)

[[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21)

[[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22)

[[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24)

[[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25)

[[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35)

[[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36)

[[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)

[[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15)

[[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2)

[[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4)

[[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15)

[[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

[[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)

[[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)

[[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2)

[[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)

[[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11)

# Standard di gestione dei servizi in Security Hub CSPM
<a name="service-managed-standards"></a>

Uno standard gestito dai servizi è uno standard di sicurezza Servizio AWS gestito da un altro ma che è possibile visualizzare in Security Hub CSPM. Ad esempio, [Service-Managed Standard: AWS Control Towerè uno standard gestito dai](service-managed-standard-aws-control-tower.md) servizi che gestisce. AWS Control Tower Uno standard gestito dai servizi si differenzia da uno standard di sicurezza gestito da AWS Security Hub CSPM nei seguenti modi:
+ **Creazione ed eliminazione di standard**: è possibile creare ed eliminare uno standard gestito dal servizio con la console o l'API del servizio di gestione oppure con. AWS CLI Finché non crei lo standard nel servizio di gestione in uno di questi modi, lo standard non viene visualizzato nella console CSPM di Security Hub e non è accessibile tramite l'API CSPM di Security Hub o. AWS CLI
+ **Nessuna attivazione automatica dei controlli**: quando si crea uno standard gestito dal servizio, Security Hub CSPM e il servizio di gestione non abilitano automaticamente i controlli che si applicano allo standard. Inoltre, quando Security Hub CSPM rilascia nuovi controlli per lo standard, questi non vengono abilitati automaticamente. Si tratta di un allontanamento dagli standard gestiti da Security Hub CSPM. Per ulteriori informazioni sul modo consueto di configurare i controlli in Security Hub CSPM, vedere. [Comprendere i controlli di sicurezza in Security Hub CSPM](controls-view-manage.md)
+ **Abilitazione e disabilitazione dei controlli**: consigliamo di abilitare e disabilitare i controlli nel servizio di gestione per evitare deviazioni.
+ **Disponibilità dei controlli**: il servizio di gestione sceglie quali controlli sono disponibili come parte dello standard di gestione dei servizi. I controlli disponibili possono includere tutti o un sottoinsieme dei controlli CSPM esistenti di Security Hub.

Dopo che il servizio di gestione ha creato lo standard gestito dal servizio e reso disponibili i relativi controlli, puoi accedere ai risultati del controllo, agli stati dei controlli e al punteggio di sicurezza standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o. AWS CLI Alcune o tutte queste informazioni potrebbero essere disponibili anche nel servizio di gestione.

Seleziona uno standard gestito dal servizio dall'elenco seguente per visualizzare ulteriori dettagli al riguardo.

**Topics**
+ [

# Standard di gestione dei servizi: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Standard di gestione dei servizi: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Questa sezione fornisce informazioni su Service-Managed Standard:. AWS Control Tower

## Che cos'è Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower è uno standard gestito dai servizi che AWS Control Tower gestisce che supporta un sottoinsieme di controlli Security Hub. Questo standard è progettato per gli utenti di AWS Security Hub CSPM e. AWS Control Tower Consente di configurare i controlli di rilevamento di Security Hub CSPM dal AWS Control Tower servizio.

I controlli investigativi rilevano la non conformità delle risorse (ad esempio, configurazioni errate) all'interno dell'azienda. Account AWS

**Suggerimento**  
Gli standard gestiti dai servizi differiscono dagli standard gestiti da AWS Security Hub CSPM. Ad esempio, è necessario creare ed eliminare uno standard gestito dai servizi nel servizio di gestione. Per ulteriori informazioni, consulta [Standard di gestione dei servizi in Security Hub CSPM](service-managed-standards.md).

Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, Control Tower abilita anche Security Hub CSPM per te in quegli account e regioni specifici, se non è già abilitato. Nella console e nell'API di Security Hub CSPM, puoi visualizzare Service-Managed Standard: insieme ad altri standard CSPM di AWS Control Tower Security Hub, una volta abilitato lo standard da. AWS Control Tower

Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.

## Creazione dello standard
<a name="aws-control-tower-standard-creation"></a>

Questo standard è disponibile in Security Hub CSPM solo se si abilitano i controlli CSPM di Security Hub da. AWS Control Tower AWS Control Tower crea lo standard quando si abilita per la prima volta un controllo applicabile utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, se non hai già abilitato Security Hub CSPM, abilita anche AWS Control Tower Security Hub CSPM per te in quegli account e regioni specifici.

Per identificare un controllo CSPM di Security Hub tramite l'ID di controllo in Control Catalog, puoi utilizzare il campo `Implementation.Identifier` in. AWS Control Tower Questo campo è mappato all'ID di controllo CSPM di Security Hub e può essere utilizzato per filtrare un ID di controllo specifico. Per recuperare i metadati di controllo per uno specifico controllo CSPM di Security Hub (ad esempio, "CodeBuild.1") in AWS Control Tower, puoi utilizzare l'API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Non puoi visualizzare o accedere a questo standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o AWS CLI senza prima configurare e abilitare i controlli CSPM di AWS Control Tower Security Hub AWS Control Tower utilizzando uno dei metodi precedenti.

[Questo standard è disponibile solo dove è disponibile.Regioni AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Abilitazione e disabilitazione dei controlli nello standard
<a name="aws-control-tower-standard-managing-controls"></a>

Dopo aver abilitato i controlli CSPM di Security Hub AWS Control Tower e aver creato lo standard Service-Managed AWS Control Tower Standard: è possibile visualizzare lo standard e i relativi controlli disponibili in Security Hub CSPM.

Quando Security Hub CSPM aggiunge nuovi controlli al Service-Managed Standard: AWS Control Tower standard, questi non vengono abilitati automaticamente per i clienti che hanno lo standard abilitato. È necessario abilitare e disabilitare i controlli per lo standard AWS Control Tower utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (esegui i [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandi [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)and)

Quando si modifica lo stato di attivazione di un controllo in AWS Control Tower, la modifica si riflette anche in Security Hub CSPM.

Tuttavia, la disabilitazione di un controllo in Security Hub CSPM abilitato in AWS Control Tower comporta una deriva del controllo. Lo stato del controllo in viene visualizzato come. AWS Control Tower `Drifted` È possibile risolvere questa deriva utilizzando l'[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API per reimpostare il controllo in corso, selezionando [Registra nuovamente l'unità organizzativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) nella AWS Control Tower console o disabilitando e riabilitando il controllo AWS Control Tower utilizzando uno dei metodi precedenti.

Il completamento delle azioni di attivazione e disabilitazione in consente di evitare la deriva del controllo. AWS Control Tower 

Quando abiliti o disabiliti i controlli in AWS Control Tower, l'azione si applica a tutti gli account e alle regioni governati da. AWS Control Tower Se abiliti e disabiliti i controlli in Security Hub CSPM (non consigliato per questo standard), l'azione si applica solo all'account e alla regione correnti.

**Nota**  
[La configurazione centrale](central-configuration-intro.md) non può essere utilizzata per gestire Service-Managed Standard:. AWS Control Tower Puoi utilizzare *solo* il AWS Control Tower servizio per abilitare e disabilitare i controlli in questo standard.

## Visualizzazione dello stato di attivazione e dello stato di controllo
<a name="aws-control-tower-standard-control-status"></a>

È possibile visualizzare lo stato di attivazione di un controllo utilizzando uno dei seguenti metodi:
+ Console CSPM Security Hub, API CSPM Security Hub o AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API per visualizzare un elenco di controlli abilitati (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI per visualizzare un elenco di controlli abilitati (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Un controllo che disabiliti AWS Control Tower ha lo stato di attivazione in Security Hub CSPM, `Disabled` a meno che non abiliti esplicitamente tale controllo in Security Hub CSPM.

Security Hub CSPM calcola lo stato del controllo in base allo stato del flusso di lavoro e allo stato di conformità dei risultati del controllo. Per ulteriori informazioni sullo stato di attivazione e sullo stato di controllo, vedere. [Revisione dei dettagli dei controlli in Security Hub CSPM](securityhub-standards-control-details.md)

In base agli stati di controllo, Security Hub CSPM calcola un [punteggio di sicurezza](standards-security-score.md) per Service-Managed Standard:. AWS Control Tower Questo punteggio è disponibile solo in Security Hub CSPM. Inoltre, è possibile visualizzare i [risultati del controllo](controls-findings-create-update.md) solo in Security Hub CSPM. Il punteggio di sicurezza standard e i risultati del controllo non sono disponibili in. AWS Control Tower

**Nota**  
Quando abiliti i controlli per Service-Managed Standard: AWS Control Tower, Security Hub CSPM può impiegare fino a 18 ore per generare risultati per i controlli che utilizzano una regola esistente collegata al servizio. AWS Config Potresti avere regole collegate ai servizi esistenti se hai abilitato altri standard e controlli in Security Hub CSPM. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

## Eliminazione dello standard
<a name="aws-control-tower-standard-deletion"></a>

È possibile eliminare questo standard gestito AWS Control Tower dal servizio disabilitando tutti i controlli applicabili utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

La disabilitazione di tutti i controlli elimina lo standard in tutti gli account gestiti e nelle regioni governate in. AWS Control Tower L'eliminazione dello standard lo AWS Control Tower rimuove dalla pagina **Standard** della console CSPM di Security Hub e non è più possibile accedervi utilizzando l'API CSPM di Security Hub o. AWS CLI

**Nota**  
 La disabilitazione di tutti i controlli dallo standard in Security Hub CSPM non disabilita o elimina lo standard. 

La disattivazione del servizio CSPM Security Hub rimuove Service-Managed Standard AWS Control Tower e tutti gli altri standard che hai abilitato.

## Trova il formato dei campi per Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Quando crei Service-Managed Standard: AWS Control Tower e ne abiliti i controlli, inizierai a ricevere i risultati del controllo in Security Hub CSPM. Security Hub CSPM riporta i risultati del controllo in. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Questi sono i valori ASFF per Amazon Resource Name (ARN) di questo standard e: `GeneratorId`
+ **ARN standard** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Per un esempio di risultato per Service-Managed Standard: AWS Control Tower, vedere. [Esempi di risultati di controllo](sample-control-findings.md)

## Controlli che si applicano a Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower supporta un sottoinsieme di controlli che fanno parte dello standard AWS Foundational Security Best Practices (FSBP). Scegliete un controllo per visualizzarne le informazioni, incluse le procedure di correzione in caso di risultati non riusciti.

Per vedere da cosa sono supportati i controlli CSPM di Security Hub AWS Control Tower, puoi utilizzare uno dei seguenti metodi:
+ AWS Controlla la console Catalog per cui puoi filtrare `“Control owner = AWS Security Hub”`
+ AWS L'API Control Catalog (chiama l'[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con filtro `Implementations` per cui verificare `Types` è `AWS::SecurityHub::SecurityControl`
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro per`Implementations`. Esempio di comando CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

I limiti regionali sui controlli CSPM di Security Hub, se abilitati tramite lo standard Control Tower, potrebbero non corrispondere ai limiti regionali sui controlli sottostanti.

In Security Hub CSPM, se [i risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings) sono disattivati nel tuo account, il `ProductFields.ControlId` campo dei risultati generati utilizza l'ID di controllo standard. **L'ID di controllo basato su standard è formattato come CT. ***ControlId***(ad esempio, CT. CodeBuild.1**).

Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.

# Abilitazione di uno standard di sicurezza
<a name="enable-standards"></a>

Quando si abilita uno standard di sicurezza in AWS Security Hub CSPM, Security Hub CSPM crea e abilita automaticamente tutti i controlli che si applicano allo standard. Security Hub CSPM inizia anche a eseguire controlli di sicurezza e a generare risultati per i controlli.

Per ottimizzare la copertura e l'accuratezza dei risultati, abilita e configura la registrazione delle risorse AWS Config prima di abilitare uno standard. Quando configurate la registrazione delle risorse, assicuratevi anche di abilitarla per tutti i tipi di risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard. Per ulteriori informazioni, consulta [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md).

Dopo aver abilitato uno standard, è possibile disabilitare o riattivare successivamente i singoli controlli che si applicano allo standard. Se si disabilita un controllo per uno standard, Security Hub CSPM interrompe la generazione dei risultati per il controllo. Inoltre, Security Hub CSPM ignora il controllo quando calcola il punteggio di sicurezza per lo standard. Il punteggio di sicurezza è la percentuale di controlli che hanno superato la valutazione, rispetto al numero totale di controlli che si applicano allo standard, sono abilitati e dispongono di dati di valutazione.

Quando abiliti uno standard, Security Hub CSPM genera un punteggio di sicurezza preliminare per lo standard, in genere entro 30 minuti dalla prima visita alla pagina **Riepilogo** o **Standard di sicurezza** sulla console CSPM di Security Hub. I punteggi di sicurezza vengono generati solo per gli standard abilitati quando si visitano quelle pagine sulla console. Inoltre, per visualizzare i punteggi, è necessario configurare AWS Config la registrazione delle risorse. Nelle regioni della Cina e AWS GovCloud (US) Regions, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi un punteggio di sicurezza preliminare per uno standard. Dopo che Security Hub CSPM ha generato un punteggio preliminare, lo aggiorna ogni 24 ore. Per determinare quando un punteggio di sicurezza è stato aggiornato l'ultima volta, puoi fare riferimento a un timestamp fornito da Security Hub CSPM per il punteggio. Per ulteriori informazioni, consulta [Calcolo dei punteggi di sicurezza](standards-security-score.md).

Il modo in cui si abilita uno standard dipende dall'utilizzo della [configurazione centrale](central-configuration-intro.md) per gestire Security Hub CSPM per più account e. Regioni AWS Si consiglia di utilizzare la configurazione centrale se si desidera abilitare gli standard in ambienti con più account e più regioni. È possibile utilizzare la configurazione centrale se si integra Security Hub CSPM con. AWS Organizations Se non si utilizza la configurazione centrale, è necessario abilitare ogni standard separatamente in ogni account e in ogni regione.

**Topics**
+ [

## Abilitazione di uno standard in più account e Regioni AWS
](#enable-standards-central-configuration)
+ [

## Abilitare uno standard in un unico account e Regione AWS
](#securityhub-standard-enable-console)
+ [

## Verifica dello stato di uno standard
](#standard-subscription-status)

## Abilitazione di uno standard in più account e Regioni AWS
<a name="enable-standards-central-configuration"></a>

Per abilitare e configurare uno standard di sicurezza su più account e Regioni AWS utilizzare la [configurazione centrale](central-configuration-intro.md). Con la configurazione centrale, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione CSPM di Security Hub che abilitano uno o più standard. L'amministratore può quindi associare una politica di configurazione a singoli account, unità organizzative (OUs) o root. Una politica di configurazione influisce sulla regione principale, nota anche come *regione di aggregazione*, e su tutte le regioni collegate.

I criteri di configurazione offrono opzioni di personalizzazione. Ad esempio, è possibile scegliere di abilitare solo lo standard AWS Foundational Security Best Practices (FSBP) per un'unità organizzativa. Per un'altra unità organizzativa, è possibile scegliere di abilitare sia lo standard FSBP che lo standard Center for Internet Security (CIS) Foundations Benchmark v1.4.0. AWS Per informazioni sulla creazione di una politica di configurazione che abiliti gli standard particolari specificati dall'utente, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

Se utilizzi la configurazione centrale, Security Hub CSPM non abilita automaticamente alcuno standard negli account nuovi o esistenti. Invece, l'amministratore CSPM di Security Hub specifica quali standard abilitare nei diversi account quando crea le politiche di configurazione CSPM di Security Hub per la propria organizzazione. Security Hub CSPM offre una politica di configurazione consigliata in cui è abilitato solo lo standard FSBP. Per ulteriori informazioni, consulta [Tipi di politiche di configurazione](configuration-policies-overview.md#policy-types).

**Nota**  
L'amministratore CSPM di Security Hub può utilizzare le politiche di configurazione per abilitare qualsiasi standard tranne lo standard gestito dai [AWS Control Tower servizi](service-managed-standard-aws-control-tower.md). Per abilitare questo standard, l'amministratore deve utilizzare direttamente. AWS Control Tower Devono AWS Control Tower inoltre abilitare o disabilitare i singoli controlli di questo standard per un account gestito centralmente.

*Se desideri che alcuni account abilitino e configurino gli standard per i propri account, l'amministratore CSPM di Security Hub può designare tali account come account autogestiti.* Gli account autogestiti devono abilitare e configurare gli standard separatamente in ciascuna regione.

## Abilitare uno standard in un unico account e Regione AWS
<a name="securityhub-standard-enable-console"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, non puoi utilizzare le policy di configurazione per abilitare centralmente gli standard di sicurezza in più account o Regioni AWS. Tuttavia, puoi abilitare uno standard in un unico account e regione. È possibile farlo utilizzando la console CSPM di Security Hub o l'API CSPM di Security Hub.

------
#### [ Security Hub CSPM console ]

Segui questi passaggi per abilitare uno standard in un account e in una regione utilizzando la console Security Hub CSPM.

**Per abilitare uno standard in un account e in un'unica regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri abilitare lo standard.

1. **Nel riquadro di navigazione, scegli Standard di sicurezza.** La pagina **degli standard di sicurezza** elenca tutti gli standard attualmente supportati da Security Hub CSPM. Se hai già abilitato uno standard, la sezione relativa allo standard include il punteggio di sicurezza corrente e dettagli aggiuntivi per lo standard.

1. Nella sezione relativa allo standard che desideri abilitare, scegli **Abilita standard**.

Per abilitare lo standard in altre regioni, ripeti i passaggi precedenti in ogni regione aggiuntiva.

------
#### [ Security Hub CSPM API ]

Per abilitare uno standard a livello di codice in un singolo account e regione, usa l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Oppure, se stai usando il AWS Command Line Interface (AWS CLI), esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)comando.

Nella tua richiesta, utilizza il `StandardsArn` parametro per specificare l'Amazon Resource Name (ARN) dello standard che desideri abilitare. Specificate anche la regione a cui si riferisce la richiesta. Ad esempio, il comando seguente abilita lo standard AWS Foundational Security Best Practices (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

*arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0**Dov'è l'ARN dello standard FSBP nella regione Stati Uniti orientali (Virginia settentrionale) ed *us-east-1* è la regione in cui abilitarlo.

Per ottenere l'ARN per uno standard, usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operazione o, se stai usando il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)

Per esaminare innanzitutto un elenco di standard attualmente abilitati nel tuo account, puoi utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operazione. Se stai usando AWS CLI, puoi eseguire il [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando per recuperare questo elenco.

------

Dopo aver abilitato uno standard, Security Hub CSPM inizia a eseguire attività per abilitare lo standard nell'account e nella regione specificata. Ciò include la creazione di tutti i controlli che si applicano allo standard. Per monitorare lo stato di queste attività, puoi controllare lo stato dello standard per l'account e la regione.

## Verifica dello stato di uno standard
<a name="standard-subscription-status"></a>

Quando abiliti uno standard di sicurezza per un account, Security Hub CSPM inizia a creare tutti i controlli che si applicano allo standard nell'account. Security Hub CSPM esegue anche attività aggiuntive per abilitare lo standard per l'account, come la generazione di un punteggio di sicurezza preliminare per lo standard. Sebbene Security Hub CSPM esegua queste attività, lo stato dello standard è *Pending*relativo all'account. Lo stato dello standard passa quindi attraverso stati aggiuntivi, che è possibile monitorare e controllare.

**Nota**  
Le modifiche ai singoli controlli di uno standard non influiscono sullo stato generale dello standard. Ad esempio, se abiliti un controllo precedentemente disabilitato, la modifica non influisce sullo stato dello standard. Allo stesso modo, se modifichi il valore di un parametro per un controllo abilitato, la modifica non influisce sullo stato dello standard.

Per verificare lo stato di uno standard utilizzando la console CSPM di Security Hub, scegli **Standard di sicurezza** nel riquadro di navigazione. La pagina **degli standard di sicurezza** elenca tutti gli standard attualmente supportati da Security Hub CSPM. Se Security Hub CSPM sta attualmente eseguendo attività per abilitare lo standard, la sezione relativa allo standard indica che Security Hub CSPM sta ancora generando un punteggio di sicurezza per lo standard. Se uno standard è abilitato, la sezione relativa allo standard include il punteggio corrente. Scegli **Visualizza risultati** per esaminare ulteriori dettagli, incluso lo stato dei singoli controlli che si applicano allo standard. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Per verificare lo stato di uno standard a livello di codice con l'API CSPM Security Hub, utilizzare l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Nella tua richiesta, utilizza facoltativamente il `StandardsSubscriptionArns` parametro per specificare l'Amazon Resource Name (ARN) dello standard di cui desideri controllare lo stato. Se stai usando il AWS Command Line Interface (AWS CLI), puoi eseguire il [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando per verificare lo stato di uno standard. Per specificare l'ARN dello standard da controllare, utilizzare il `standards-subscription-arns` parametro. Per determinare l'ARN da specificare, è possibile utilizzare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operazione o, per la AWS CLI, eseguire il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Se la richiesta ha esito positivo, Security Hub CSPM risponde con una serie di oggetti. `StandardsSubscription` Un *abbonamento standard* è una AWS risorsa che Security Hub CSPM crea in un account quando uno standard è abilitato per l'account. Ogni `StandardsSubscription` oggetto fornisce dettagli su uno standard attualmente abilitato o in fase di attivazione o disabilitazione per l'account. All'interno di ogni oggetto, il `StandardsStatus` campo specifica lo stato corrente dello standard per l'account.

Lo stato di uno standard (`StandardsStatus`) può essere uno dei seguenti.

**PENDING**  
Security Hub CSPM sta attualmente eseguendo attività per abilitare lo standard per l'account. Ciò include la creazione dei controlli che si applicano allo standard e la generazione di un punteggio di sicurezza preliminare per lo standard. Security Hub CSPM può impiegare diversi minuti per completare tutte le attività. Uno standard può avere questo stato anche se è già abilitato per l'account e Security Hub CSPM sta attualmente aggiungendo nuovi controlli allo standard.  
Se uno standard ha questo stato, potresti non essere in grado di recuperare i dettagli dei singoli controlli che si applicano allo standard. Inoltre, potresti non essere in grado di configurare o disabilitare i singoli controlli per lo standard. Ad esempio, se si tenta di disabilitare un controllo utilizzando l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operazione, si verifica un errore.  
Per determinare se è possibile configurare o gestire in altro modo i singoli controlli per lo standard, fate riferimento al valore del `StandardsControlsUpdatable` campo. Se il valore di questo campo è`READY_FOR_UPDATES`, puoi iniziare a gestire i singoli controlli per lo standard. Altrimenti, attendi che Security Hub CSPM completi le attività di elaborazione aggiuntive per abilitare lo standard.

**READY**  
Lo standard è attualmente abilitato per l'account. Security Hub CSPM può eseguire controlli di sicurezza e generare risultati per tutti i controlli che si applicano allo standard e sono attualmente abilitati. Security Hub CSPM può anche calcolare un punteggio di sicurezza per lo standard.  
Se uno standard ha questo stato, è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard. Inoltre, è possibile configurare, disabilitare o riattivare i controlli. Puoi anche disabilitare lo standard.

**INCOMPLETE**  
Security Hub CSPM non è stato in grado di abilitare completamente lo standard per l'account. Security Hub CSPM non può eseguire controlli di sicurezza e generare risultati per tutti i controlli che si applicano allo standard e sono attualmente abilitati. Inoltre, Security Hub CSPM non è in grado di calcolare un punteggio di sicurezza per lo standard.  
Per determinare il motivo per cui lo standard non è stato abilitato completamente, fai riferimento alle informazioni nell'`StandardsStatusReason`array. Questo array specifica i problemi che hanno impedito a Security Hub CSPM di abilitare lo standard. Se si è verificato un errore interno, prova ad abilitare nuovamente lo standard per l'account. Per altri tipi di problemi, [controlla AWS Config le tue impostazioni](securityhub-setup-prereqs.md). Puoi anche [disabilitare i singoli controlli](disable-controls-overview.md) che non desideri controllare o disabilitare completamente lo standard.

**DELETING**  
Security Hub CSPM sta attualmente elaborando una richiesta per disabilitare lo standard per l'account. Ciò include la disabilitazione dei controlli che si applicano allo standard e la rimozione del punteggio di sicurezza associato. Il completamento dell'elaborazione della richiesta da parte di Security Hub CSPM può richiedere alcuni minuti.  
Se uno standard ha questo stato, non puoi riattivarlo o provare a disabilitarlo nuovamente per l'account. Security Hub CSPM deve prima completare l'elaborazione della richiesta corrente. Inoltre, non è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard o gestire i controlli.

**FAILED**  
Security Hub CSPM non è stato in grado di disabilitare lo standard per l'account. Si sono verificati uno o più errori quando Security Hub CSPM ha tentato di disabilitare lo standard. Inoltre, Security Hub CSPM non è in grado di calcolare un punteggio di sicurezza per lo standard.  
Per determinare il motivo per cui lo standard non è stato completamente disabilitato, fai riferimento alle informazioni nell'`StandardsStatusReason`array. Questo array specifica i problemi che hanno impedito a Security Hub CSPM di disabilitare lo standard.  
Se uno standard ha questo stato, non è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard o gestire i controlli. Tuttavia, puoi riattivare lo standard per l'account. Se risolvi i problemi che hanno impedito a Security Hub CSPM di disabilitare lo standard, puoi anche provare a disabilitare nuovamente lo standard.

Se lo stato di uno standard è`READY`, Security Hub CSPM esegue controlli di sicurezza e genera risultati per tutti i controlli che si applicano allo standard e che sono attualmente abilitati. Per altri stati, Security Hub CSPM potrebbe eseguire controlli e generare risultati per alcuni, ma non tutti, i controlli abilitati. La generazione o l'aggiornamento dei risultati dei controlli possono richiedere fino a 24 ore. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

# Revisione dei dettagli di uno standard di sicurezza
<a name="securityhub-standards-view-controls"></a>

Dopo aver abilitato uno standard di sicurezza in AWS Security Hub CSPM, puoi utilizzare la console per esaminare i dettagli dello standard. Sulla console, la pagina dei dettagli di uno standard include le seguenti informazioni:
+ Il punteggio di sicurezza attuale dello standard.
+ Una tabella di controlli che si applicano allo standard.
+ Statistiche aggregate per i controlli che si applicano allo standard.
+ Un riepilogo visivo dello stato dei controlli che si applicano allo standard.
+ Un riepilogo visivo dei controlli di sicurezza per i controlli abilitati e applicabili allo standard. Se si esegue l'integrazione con AWS Organizations, i controlli abilitati in almeno un account dell'organizzazione vengono considerati abilitati.

Per esaminare questi dettagli, scegli **Standard di sicurezza** nel riquadro di navigazione sulla console. Quindi, nella sezione relativa allo standard, scegli **Visualizza risultati**. Per un'analisi più approfondita, puoi filtrare e ordinare i dati e approfondire i dettagli dei singoli controlli che si applicano allo standard.

**Topics**
+ [

## Comprensione del punteggio di sicurezza standard
](#standard-details-overview)
+ [

## Revisione dei controlli per uno standard
](#standard-controls-list)

## Comprensione del punteggio di sicurezza standard
<a name="standard-details-overview"></a>

Nella console AWS Security Hub CSPM, la pagina dei dettagli di uno standard mostra il punteggio di sicurezza per lo standard. Il punteggio è la percentuale di controlli che hanno superato la valutazione, rispetto al numero totale di controlli che si applicano allo standard, sono abilitati e dispongono di dati di valutazione. Sotto il punteggio c'è un grafico che riassume i controlli di sicurezza per i controlli abilitati per lo standard. Ciò include il numero di controlli di sicurezza superati e non riusciti. Per gli account amministratore, il punteggio e il grafico standard vengono aggregati per l'account amministratore e per tutti gli account dei membri. Per esaminare i controlli di sicurezza non riusciti relativi ai controlli con una gravità specifica, scegli la gravità.

Quando abiliti uno standard, Security Hub CSPM genera un punteggio di sicurezza preliminare per lo standard, in genere entro 30 minuti dalla prima visita alla pagina **Riepilogo** o alla pagina **degli standard di sicurezza sulla console** CSPM di Security Hub. I punteggi vengono generati solo per gli standard abilitati quando si visitano quelle pagine. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Nelle regioni della Cina e AWS GovCloud (US) Regions, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi un punteggio preliminare. Dopo che Security Hub CSPM ha generato un punteggio preliminare per uno standard, lo aggiorna ogni 24 ore. Per ulteriori informazioni, consulta [Calcolo dei punteggi di sicurezza](standards-security-score.md).

Tutti i dati nelle pagine dei dettagli **degli standard di sicurezza** sono specifici di quelli correnti, a Regione AWS meno che non si imposti una regione di aggregazione. Se imposti una regione di aggregazione, i punteggi di sicurezza si applicano a tutte le regioni e includono i risultati per tutte le aree collegate. Inoltre, lo stato di conformità dei controlli riflette i risultati delle regioni collegate e il numero di controlli di sicurezza include i risultati delle regioni collegate.

## Revisione dei controlli per uno standard
<a name="standard-controls-list"></a>

Quando si utilizza la console AWS Security Hub CSPM per esaminare i dettagli di uno standard abilitato, è possibile esaminare una tabella dei controlli di sicurezza applicabili allo standard. Per ogni controllo, la tabella include le seguenti informazioni:
+ L'ID e il titolo del controllo.
+ Lo stato del controllo. Per ulteriori informazioni, consulta [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
+ La severità assegnata al controllo.
+ Il numero di controlli non riusciti e il numero totale di controlli. Se applicabile, il campo **Controlli falliti** specifica anche il numero di risultati con lo stato **Sconosciuto**.
+ Se il controllo supporta parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).

Security Hub CSPM aggiorna gli stati di controllo e il conteggio dei controlli di sicurezza ogni 24 ore. Un timestamp nella parte superiore della pagina indica quando Security Hub CSPM ha aggiornato questi dati per l'ultima volta.

Per gli account amministratore, gli stati di controllo e il numero di controlli di sicurezza sono aggregati tra l'account amministratore e tutti gli account dei membri. Il numero di controlli abilitati include i controlli abilitati per lo standard nell'account amministratore o in almeno un account membro. Il numero di controlli disabilitati include i controlli disabilitati per lo standard nell'account amministratore e in tutti gli account dei membri.

È possibile filtrare la tabella dei controlli che si applicano allo standard. Utilizzando le opzioni **Filtra** per accanto alla tabella, è possibile scegliere di visualizzare solo i controlli abilitati o disabilitati per lo standard. Se si visualizzano solo i controlli abilitati, è possibile filtrare ulteriormente la tabella in base allo stato del controllo. È quindi possibile concentrarsi sui controlli con uno stato di controllo specifico. Oltre alle opzioni **Filtra per**, puoi inserire criteri di **filtro nella casella Filtra controlli**. Ad esempio, è possibile filtrare per ID o titolo del controllo.

Scegli il tuo metodo di accesso preferito. Quindi segui i passaggi per rivedere i controlli che si applicano a uno standard che hai abilitato.

------
#### [ Security Hub CSPM console ]

**Per esaminare i controlli di uno standard abilitato**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Standard di sicurezza** nel pannello di navigazione.

1. Nella sezione relativa allo standard, scegli **Visualizza risultati**.

La tabella in fondo alla pagina elenca tutti i controlli che si applicano allo standard. È possibile filtrare e ordinare la tabella. Puoi anche scaricare la pagina corrente della tabella come file CSV. Per fare ciò, scegli **Scarica** sopra la tabella. Se filtri la tabella, il file scaricato include solo i controlli che corrispondono alle impostazioni correnti del filtro.

------
#### [ Security Hub CSPM API ]

**Per esaminare i controlli per uno standard abilitato**

1. Utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)funzionamento dell'API CSPM Security Hub. Se stai usando AWS CLI, esegui il comando. [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)

   Specificate l'Amazon Resource Name (ARN) dello standard per cui desiderate esaminare i controlli. ARNs Per ottenere gli standard, usa l'[DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operazione o esegui il comando [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Se non si specifica l'ARN per uno standard, Security Hub CSPM restituisce tutto il controllo di sicurezza. IDs

1. Utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)operazione dell'API CSPM Security Hub o esegui il [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)comando. Questa operazione indica in quali standard è abilitato un controllo.

   Identifica il controllo fornendo l'ID o l'ARN del controllo di sicurezza. I parametri di impaginazione sono opzionali.

L'esempio seguente indica in quali standard è abilitato il controllo Config.1.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Disattivazione degli standard di sicurezza abilitati automaticamente
<a name="securityhub-auto-enabled-standards"></a>

Se l'organizzazione non utilizza la configurazione centrale, utilizza un tipo di configurazione chiamato configurazione *locale*. Con la configurazione locale, AWS Security Hub CSPM può abilitare automaticamente gli standard di sicurezza predefiniti per gli account dei nuovi membri quando gli account entrano a far parte dell'organizzazione. Tutti i controlli che si applicano a questi standard predefiniti vengono inoltre abilitati automaticamente.

Attualmente, gli standard di sicurezza predefiniti sono lo standard AWS Foundational Security Best Practices e lo standard Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Per informazioni su questi standard, consulta la. [Riferimento agli standard per Security Hub CSPM](standards-reference.md)

Se preferisci abilitare manualmente gli standard di sicurezza per gli account dei nuovi membri, puoi disattivare l'abilitazione automatica degli standard predefiniti. È possibile farlo solo se si integra AWS Organizations e si utilizza la configurazione locale. Se si utilizza la configurazione centrale, è possibile invece creare una politica di configurazione che abiliti gli standard predefiniti e associare la politica alla radice. Tutti gli account dell'organizzazione ereditano OUs quindi questa politica di configurazione a meno che non siano associati a una politica diversa o siano gestiti autonomamente. Se non esegui l'integrazione con AWS Organizations, puoi disabilitare uno standard predefinito quando attivi inizialmente Security Hub CSPM o versioni successive. Per scoprire come, consulta [Disabilitazione di uno standard](disable-standards.md).

Per disattivare l'abilitazione automatica degli standard predefiniti per i nuovi account membro, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub.

------
#### [ Security Hub CSPM console ]

Segui questi passaggi per disattivare l'abilitazione automatica degli standard predefiniti utilizzando la console Security Hub CSPM.

**Per disattivare l'attivazione automatica degli standard predefiniti**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore.

1. Nel riquadro di navigazione, in **Impostazioni**, scegli **Configurazione**.

1. Nella sezione **Panoramica**, scegli **Modifica**.

1. In **Nuove impostazioni dell'account**, deseleziona la casella di controllo **Abilita gli standard di sicurezza predefiniti**.

1. Scegli **Conferma**.

------
#### [ Security Hub CSPM API ]

Per disattivare l'abilitazione automatica degli standard predefiniti a livello di codice, dall'account amministratore CSPM di Security Hub, utilizzare il funzionamento dell'API CSPM di [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)Security Hub. Nella richiesta, specificare il parametro. `NONE` `AutoEnableStandards` 

Se utilizzi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando per disattivare l'abilitazione automatica degli standard predefiniti. Per il parametro `auto-enable-standards`, specifica `NONE`. Ad esempio, il comando seguente abilita automaticamente Security Hub CSPM per gli account dei nuovi membri e disattiva l'abilitazione automatica degli standard predefiniti per gli account.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Disabilitazione di uno standard di sicurezza
<a name="disable-standards"></a>

Quando si disabilita uno standard di sicurezza in AWS Security Hub CSPM, si verifica quanto segue:
+ Tutti i controlli che si applicano allo standard sono disabilitati, a meno che non siano associati a un altro standard attualmente abilitato.
+ I controlli di sicurezza per i controlli disattivati non vengono più eseguiti e non vengono generati risultati aggiuntivi per i controlli disattivati.
+ I risultati esistenti relativi ai controlli disattivati vengono archiviati automaticamente dopo circa 3-5 giorni.
+ AWS Config le regole che Security Hub CSPM ha creato per i controlli disabilitati vengono eliminate.

L'eliminazione delle AWS Config regole appropriate avviene in genere entro pochi minuti dalla disattivazione di uno standard. Tuttavia, l'operazione potrebbe richiedere più tempo. Se la prima richiesta non riesce a eliminare le regole, Security Hub CSPM riprova ogni 12 ore. Tuttavia, se hai disabilitato Security Hub CSPM o non hai abilitato nessun altro standard, Security Hub CSPM non può riprovare, il che significa che non può eliminare le regole. Se ciò si verifica e devi eliminare le regole, contatta. Supporto AWS

**Topics**
+ [

## Disabilitazione di uno standard in più account e Regioni AWS
](#disable-standards-central-configuration)
+ [

## Disabilitazione di uno standard in un unico account e Regione AWS
](#securityhub-standard-disable-console)

## Disabilitazione di uno standard in più account e Regioni AWS
<a name="disable-standards-central-configuration"></a>

Per disabilitare uno standard di sicurezza su più account e utilizzare Regioni AWS la [configurazione centrale](central-configuration-intro.md). Con la configurazione centrale, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione CSPM di Security Hub che disabilitano uno o più standard. L'amministratore può quindi associare una politica di configurazione a singoli account, unità organizzative (OUs) o root. Una politica di configurazione influisce sulla regione principale, nota anche come *regione di aggregazione*, e su tutte le regioni collegate.

I criteri di configurazione offrono opzioni di personalizzazione. Ad esempio, è possibile scegliere di disabilitare il Payment Card Industry Data Security Standard (PCI DSS) in un'unica unità organizzativa. Per un'altra unità organizzativa, è possibile scegliere di disabilitare sia lo standard PCI DSS che lo standard SP 800-53 Rev. 5 del National Institute of Standards and Technology (NIST). Per informazioni sulla creazione di una politica di configurazione che abiliti o disabiliti i singoli standard specificati, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Nota**  
L'amministratore CSPM di Security Hub può utilizzare le politiche di configurazione per disabilitare qualsiasi standard tranne lo standard gestito dai [AWS Control Tower servizi](service-managed-standard-aws-control-tower.md). Per disabilitare questo standard, l'amministratore deve utilizzare direttamente. AWS Control Tower Devono inoltre AWS Control Tower disabilitare o abilitare i controlli individuali di questo standard per un account gestito centralmente.

*Se desideri che alcuni account configurino o disabilitino gli standard per i propri account, l'amministratore CSPM di Security Hub può designare tali account come account autogestiti.* Gli account autogestiti devono disabilitare gli standard separatamente in ciascuna regione.

## Disabilitazione di uno standard in un unico account e Regione AWS
<a name="securityhub-standard-disable-console"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente gli standard di sicurezza in più account o. Regioni AWS Tuttavia, puoi disabilitare uno standard in un unico account e regione. È possibile farlo utilizzando la console CSPM di Security Hub o l'API CSPM di Security Hub. 

------
#### [ Security Hub CSPM console ]

Segui questi passaggi per disabilitare uno standard in un account e in una regione utilizzando la console Security Hub CSPM.

**Per disabilitare uno standard in un account e in una regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri disabilitare lo standard.

1. **Nel pannello di navigazione, scegli Standard di sicurezza.**

1. Nella sezione relativa allo standard che desideri disabilitare, scegli **Disabilita standard**.

Per disabilitare lo standard in altre regioni, ripeti i passaggi precedenti in ogni regione aggiuntiva.

------
#### [ Security Hub CSPM API ]

Per disabilitare uno standard a livello di codice in un singolo account e regione, usa l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) Oppure, se stai usando il AWS Command Line Interface (AWS CLI), esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)comando.

Nella tua richiesta, utilizza il `StandardsSubscriptionArns` parametro per specificare l'Amazon Resource Name (ARN) dello standard che desideri disabilitare. Se si utilizza il AWS CLI, utilizzare il `standards-subscription-arns` parametro per specificare l'ARN. Specificate anche la regione a cui si riferisce la richiesta. Ad esempio, il comando seguente disabilita lo standard AWS Foundational Security Best Practices (FSBP) per un account (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

*arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0*Dov'è l'ARN dello standard FSBP per l'account nella regione Stati Uniti orientali (Virginia settentrionale) ed *us-east-1* è la regione in cui disabilitarlo.

Per ottenere l'ARN per uno standard, è possibile utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operazione. Questa operazione recupera informazioni sugli standard attualmente abilitati nel tuo account. Se utilizzi il AWS CLI, puoi eseguire il [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando per recuperare queste informazioni.

------

Dopo aver disabilitato uno standard, Security Hub CSPM inizia a eseguire attività per disabilitare lo standard nell'account e nella regione specificata. Ciò include la disabilitazione di tutti i controlli che si applicano allo standard. Per monitorare lo stato di queste attività, puoi [controllare lo stato dello standard per l'](enable-standards.md#standard-subscription-status)account e la regione.

# Comprendere i controlli di sicurezza in Security Hub CSPM
<a name="controls-view-manage"></a>

In AWS Security Hub CSPM, un *controllo di sicurezza*, noto anche come *controllo*, è una protezione all'interno di uno standard di sicurezza che aiuta un'organizzazione a proteggere la riservatezza, l'integrità e la disponibilità delle proprie informazioni. In Security Hub CSPM, un controllo è correlato a una risorsa specifica AWS .

Quando abiliti un controllo in uno o più standard, Security Hub CSPM inizia a eseguire controlli di sicurezza su di esso. I controlli di sicurezza generano risultati CSPM di Security Hub. Quando si disabilita un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza su di esso e i risultati non vengono più generati.

È possibile abilitare o disabilitare i controlli singolarmente per un singolo account e. Regione AWS Per risparmiare tempo e ridurre le variazioni di configurazione in ambienti con più account, consigliamo di utilizzare la [configurazione centralizzata](central-configuration-intro.md) per abilitare o disabilitare i controlli. Con la configurazione centralizzata, l'amministratore delegato di Security Hub CSPM può creare politiche che specificano come deve essere configurato un controllo su più account e regioni. Per ulteriori informazioni sull'attivazione e la disabilitazione dei controlli, consulta. [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md)

## Visualizzazione consolidata dei controlli
<a name="consolidated-controls-view"></a>

La pagina **Controlli** della console CSPM di Security Hub mostra tutti i controlli disponibili nella versione corrente Regione AWS (è possibile visualizzare i controlli nel contesto di uno standard visitando la pagina Standard di **sicurezza** e scegliendo uno standard abilitato). Security Hub CSPM assegna ai controlli un ID, un titolo e una descrizione di controllo di sicurezza coerenti tra gli standard. I controlli IDs includono il numero pertinente Servizio AWS e un numero univoco (ad esempio, CodeBuild .3).

Le seguenti informazioni sono disponibili nella pagina **Controlli** della console [CSPM di Security Hub](https://console.aws.amazon.com/securityhub/):
+ Un punteggio di sicurezza complessivo basato sulla percentuale di controlli approvati rispetto al numero totale di controlli abilitati con dati
+ Suddivisione degli stati di controllo tra tutti i controlli CSPM di Security Hub supportati
+ Il numero totale di controlli di sicurezza superati e non riusciti.
+ Il numero di controlli di sicurezza non riusciti per controlli di diversa gravità e collegamenti per visualizzare ulteriori dettagli su tali controlli non riusciti.
+ Un elenco di controlli CSPM di Security Hub, con filtri per visualizzare sottoinsiemi specifici di controlli.

Dalla pagina **Controlli**, puoi scegliere un controllo per visualizzarne i dettagli e intervenire sui risultati generati dal controllo. Da questa pagina, puoi anche abilitare o disabilitare un controllo di sicurezza nel tuo sistema attuale Account AWS e Regione AWS. Le azioni di attivazione e disabilitazione della pagina **Controlli si applicano a tutti gli standard**. Per ulteriori informazioni, consulta [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md).

Per gli account amministratore, la pagina **Controlli** riflette lo stato dei controlli negli account dei membri. Se un controllo di controllo fallisce in almeno un account membro, lo stato del controllo è **Non riuscito**. Se hai impostato una [regione di aggregazione](finding-aggregation.md), la pagina **Controlli** riflette lo stato dei controlli in tutte le regioni collegate. Se un controllo di controllo ha esito negativo in almeno una regione collegata, lo stato del controllo è **Fallito**.

La visualizzazione dei controlli consolidati causa modifiche ai campi di ricerca dei controlli nel AWS Security Finding Format (ASFF) che possono influire sui flussi di lavoro. Per ulteriori informazioni, consulta [Visualizzazione consolidata dei controlli: modifiche ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).

## Riepilogo del punteggio di sicurezza per i controlli
<a name="controls-overall-score"></a>

La pagina **Controlli** mostra un punteggio di sicurezza riassuntivo compreso tra 0 e 100 percento. Il punteggio di sicurezza riepilogativo viene calcolato in base alla percentuale di controlli approvati rispetto al numero totale di controlli abilitati con dati diversi standard.

**Nota**  
 Per visualizzare il punteggio di sicurezza complessivo per i controlli, devi aggiungere l'autorizzazione alla chiamata **`BatchGetControlEvaluations`**al ruolo IAM che utilizzi per accedere al CSPM di Security Hub. Questa autorizzazione non è necessaria per visualizzare i punteggi di sicurezza per standard specifici. 

Quando abiliti Security Hub CSPM, Security Hub CSPM calcola il punteggio di sicurezza iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. La generazione dei punteggi di sicurezza per la prima volta nelle regioni della Cina e AWS GovCloud (US) Regions può richiedere fino a 24 ore.

Oltre al punteggio di sicurezza complessivo, Security Hub CSPM calcola un punteggio di sicurezza standard per ogni standard abilitato entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina degli standard **di sicurezza**. Per visualizzare un elenco degli standard attualmente abilitati, utilizza l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operazione API.

AWS Config deve essere abilitato alla registrazione delle risorse affinché gli spartiti appaiano. Per informazioni su come Security Hub CSPM calcola i punteggi di sicurezza, vedere. [Calcolo dei punteggi di sicurezza](standards-security-score.md)

Dopo la prima generazione di punteggi, Security Hub CSPM aggiorna i punteggi di sicurezza ogni 24 ore. Security Hub CSPM visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta.

Se è stata impostata una regione di aggregazione, il punteggio di sicurezza complessivo riflette i risultati del controllo nelle regioni collegate.

# Riferimento di controllo per Security Hub CSPM
<a name="securityhub-controls-reference"></a>

Questo riferimento di controllo fornisce una tabella dei controlli CSPM di AWS Security Hub disponibili con collegamenti a ulteriori informazioni su ciascun controllo. Nella tabella, i controlli sono elencati in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub CSPM. I controlli ritirati sono esclusi dalla tabella.

La tabella fornisce le seguenti informazioni per ogni controllo:
+ **ID del controllo di sicurezza**: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub CSPM mostra il controllo di sicurezza IDs, indipendentemente dal fatto che i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings) siano attivati o disattivati nel tuo account. Tuttavia, i risultati del CSPM di Security Hub fanno riferimento al controllo di sicurezza IDs solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni controlli IDs variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo della sicurezza, consulta. IDs [In che modo il consolidamento influisce sul controllo e sui titoli IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Se desideri configurare [le automazioni](automations.md) per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub CSPM possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, il controllo IDs rimane lo stesso.

  Il controllo IDs può saltare i numeri. Si tratta di segnaposti per controlli futuri.
+ **Titolo del controllo di sicurezza: questo titolo** si applica a tutti gli standard. La console Security Hub CSPM mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del CSPM di Security Hub fanno riferimento ai titoli di controllo di sicurezza solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo di sicurezza, consulta. IDs [In che modo il consolidamento influisce sul controllo e sui titoli IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Standard applicabili**: indica a quali standard si applica un controllo. Scegli un controllo per esaminare i requisiti specifici dei framework di conformità di terze parti.
+ **Severità**: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub CSPM determina la gravità del controllo, vedere. [Livelli di gravità per i risultati del controllo](controls-findings-create-update.md#control-findings-severity)
+ **Supporta parametri personalizzati**: indica se il controllo supporta valori personalizzati per uno o più parametri. Scegliete un controllo per esaminare i dettagli dei parametri. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).
+ **Tipo di pianificazione**: indica quando il controllo viene valutato. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Scegli un controllo per esaminare ulteriori dettagli. I controlli sono elencati in ordine alfabetico in base all'ID del controllo di sicurezza.


| ID del controllo di sicurezza | Titolo del controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Tipo di pianificazione | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS  | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Buone pratiche di AWS sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO  | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Periodic (Periodico)  | 
|  [Conto.2](account-controls.md#account-2)  |  Account AWS dovrebbe far parte di un'organizzazione AWS Organizations  |  NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ACM.1](acm-controls.md#acm-1)  |  I certificati importati ed emessi da ACM devono essere rinnovati dopo un determinato periodo di tempo  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata e periodica  | 
|  [ACM.2](acm-controls.md#acm-2)  |  I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit  | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ACM.3](acm-controls.md#acm-3)  | I certificati ACM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Amplifica.1](amplify-controls.md#amplify-1)  | Le app Amplify devono essere taggate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Amplifica.2](amplify-controls.md#amplify-2)  | I rami Amplify devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [APIGateway1](apigateway-controls.md#apigateway-1).  |  API Gateway REST e la registrazione dell'esecuzione delle WebSocket API devono essere abilitati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [APIGateway2.](apigateway-controls.md#apigateway-2)  |  Le fasi dell'API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend.  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [APIGateway3.](apigateway-controls.md#apigateway-3)  |  Le fasi dell'API REST di API Gateway devono avere AWS X-Ray la traccia abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [APIGateway4.](apigateway-controls.md#apigateway-4)  |  API Gateway deve essere associato a un ACL Web WAF  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [APIGateway5.](apigateway-controls.md#apigateway-5)  |  I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [APIGateway8.](apigateway-controls.md#apigateway-8)  |  Le rotte API Gateway devono specificare un tipo di autorizzazione  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [APIGateway9.](apigateway-controls.md#apigateway-9)  |  La registrazione degli accessi deve essere configurata per API Gateway V2 Stages  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1).  | AWS AppConfig le applicazioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppConfig2.](appconfig-controls.md#appconfig-2)  | AWS AppConfig i profili di configurazione devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppConfig3.](appconfig-controls.md#appconfig-3)  | AWS AppConfig gli ambienti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppConfig4.](appconfig-controls.md#appconfig-4)  | AWS AppConfig le associazioni di estensione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppFlow1](appflow-controls.md#appflow-1).  |  AppFlow I flussi Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppRunner1](apprunner-controls.md#apprunner-1).  | I servizi App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppRunner2.](apprunner-controls.md#apprunner-2)  | I connettori VPC App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppSync2.](appsync-controls.md#appsync-2)  |  AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [AppSync4.](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [AppSync5.](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL non APIs deve essere autenticato con chiavi API  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Atena.2](athena-controls.md#athena-2)  | I cataloghi di dati Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Atena.3](athena-controls.md#athena-3)  | I gruppi di lavoro Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Atena.4](athena-controls.md#athena-4)  | I gruppi di lavoro Athena devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1).  | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [AutoScaling2.](autoscaling-controls.md#autoscaling-2)  |  Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [AutoScaling3.](autoscaling-controls.md#autoscaling-3)  |  Le configurazioni di avvio del gruppo Auto Scaling devono configurare le istanze EC2 in modo che richiedano Instance Metadata Service versione 2 () IMDSv2  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Le istanze Amazon EC2 avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [AutoScaling6.](autoscaling-controls.md#autoscaling-6)  |  I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [AutoScaling9.](autoscaling-controls.md#autoscaling-9)  |  I gruppi di Auto Scaling di EC2 devono utilizzare i modelli di avvio EC2  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | I gruppi EC2 Auto Scaling devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup i punti di ripristino devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup le casseforti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup i piani di rapporto devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup i piani di backup devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Lotto.1](batch-controls.md#batch-1)  | Le code di lavori in batch devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Lotto.2](batch-controls.md#batch-2)  | Le politiche di pianificazione dei batch devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Lotto.3](batch-controls.md#batch-3)  | Gli ambienti di elaborazione in batch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Lotto.4](batch-controls.md#batch-4)  | Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CloudFormation2.](cloudformation-controls.md#cloudformation-2)  | CloudFormation le pile devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CloudFormation3.](cloudformation-controls.md#cloudformation-3)  | CloudFormation gli stack dovrebbero avere la protezione dalla terminazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudFormation4.](cloudformation-controls.md#cloudformation-4)  | CloudFormation gli stack devono avere ruoli di servizio associati | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1).  | CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudFront3.](cloudfront-controls.md#cloudfront-3)  |  CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront4.](cloudfront-controls.md#cloudfront-4)  |  CloudFront le distribuzioni devono avere il failover di origine configurato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront5.](cloudfront-controls.md#cloudfront-5)  |  CloudFront le distribuzioni dovrebbero avere la registrazione abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront6.](cloudfront-controls.md#cloudfront-6)  |  CloudFront le distribuzioni dovrebbero avere WAF abilitato  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront7.](cloudfront-controls.md#cloudfront-7)  |  CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | BASSO |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront8.](cloudfront-controls.md#cloudfront-8)  |  CloudFront le distribuzioni dovrebbero utilizzare SNI per soddisfare le richieste HTTPS  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront9.](cloudfront-controls.md#cloudfront-9)  |  CloudFront le distribuzioni dovrebbero crittografare il traffico verso origini personalizzate  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront1.2](cloudfront-controls.md#cloudfront-12)  |  CloudFront le distribuzioni non devono puntare a origini S3 inesistenti  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudFront1.3](cloudfront-controls.md#cloudfront-13)  |  CloudFront le distribuzioni dovrebbero utilizzare il controllo dell'accesso all'origine  |  AWS Migliori pratiche di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CloudFront1.4](cloudfront-controls.md#cloudfront-14)  | CloudFront le distribuzioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudFront1.6](cloudfront-controls.md#cloudfront-16)  | CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudFront1.7](cloudfront-controls.md#cloudfront-17)  | CloudFront le distribuzioni dovrebbero utilizzare gruppi di chiavi affidabili per i file firmati URLs e i cookie | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1).  | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 AWS AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail dovrebbe avere la crittografia a riposo abilitata  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0 Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3)  | Almeno un CloudTrail percorso deve essere abilitato | NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1, PCI DSS versione 3.2.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail la convalida dei file di registro deve essere abilitata  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1, PCI DSS v3.2.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs  | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0, buone pratiche di sicurezza di base v1.0.0, NIST SP AWS 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6)  |  Assicurati che il bucket S3 utilizzato per archiviare i CloudTrail log non sia accessibile al pubblico  |  Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, PCI DSS AWS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata e periodica  | 
|  [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7)  |  Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 AWS AWS  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail i sentieri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Gli archivi dati di Lake Event devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1).  |  Dovrebbero esistere un filtro metrico di registro e un allarme per l'utilizzo da parte dell'utente «root»  | Benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate  | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3)  |  Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA)  | Benchmark CIS AWS Foundations v1.2.0  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5)  |  Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6)  |  Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7)  |  Assicurati che esistano un registro, un filtro metrico e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9)  |  Assicurati che esistano un filtro metrico di registro e un allarme per le AWS Config modifiche alla configurazione  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL)  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC  | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch gli allarmi dovrebbero avere azioni specificate configurate  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 |  HIGH (ELEVATO)  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch le azioni di allarme devono essere abilitate  |  NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1).  | CodeArtifact i repository devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1).  | CodeBuild L'archivio sorgente di Bitbucket non URLs deve contenere credenziali sensibili | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CodeBuild2.](codebuild-controls.md#codebuild-2)  |  CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato  | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CodeBuild3.](codebuild-controls.md#codebuild-3)  |  CodeBuild I log S3 devono essere crittografati  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CodeBuild4.](codebuild-controls.md#codebuild-4)  |  CodeBuild gli ambienti di progetto dovrebbero avere una configurazione di registrazione  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [CodeBuild7.](codebuild-controls.md#codebuild-7)  | CodeBuild le esportazioni dei gruppi di report devono essere crittografate quando sono inattive | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1).  | CodeGuru I gruppi di profilazione di Profiler devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1).  | CodeGuru Le associazioni dei repository dei revisori devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | I pool di identità di Cognito non dovrebbero consentire identità non autenticate | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | La MFA deve essere abilitata per i pool di utenti di Cognito | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Config.1](config-controls.md#config-1)  | AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Buone pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1 AWS  | CRITICO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [Connessione.1](connect-controls.md#connect-1)  | I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Connessione.2](connect-controls.md#connect-2)  | Le istanze Amazon Connect devono avere la CloudWatch registrazione abilitata | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1).  | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [DataSync1](datasync-controls.md#datasync-1).  | DataSync le attività dovrebbero avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [DataSync2.](datasync-controls.md#datasync-2)  | DataSync le attività devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Detective. 1](detective-controls.md#detective-1)  | I grafici del comportamento dei Detective devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [DMS.1](dms-controls.md#dms-1)  |  Le istanze di replica del Database Migration Service non devono essere pubbliche  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [DMS.2](dms-controls.md#dms-2)  | I certificati DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [DMS.3](dms-controls.md#dms-3)  | Le sottoscrizioni agli eventi DMS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [DMS.4](dms-controls.md#dms-4)  | Le istanze di replica DMS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [DMS.5](dms-controls.md#dms-5)  | I sottoreti di replica DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [DMS.6](dms-controls.md#dms-6)  |  L'aggiornamento automatico delle versioni secondarie delle istanze di replica DMS deve essere abilitato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Le attività di replica DMS per il database di origine devono avere la registrazione abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Gli endpoint DMS devono utilizzare SSL  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [DMS.10](dms-controls.md#dms-10)  | Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [DMS.11](dms-controls.md#dms-11)  | Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [DMS.12](dms-controls.md#dms-12)  | Gli endpoint DMS per Redis OSS devono avere TLS abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [DMS.13](dms-controls.md#dms-13)  | Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Documento DB.1](documentdb-controls.md#documentdb-1)  |  I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Documento DB.2](documentdb-controls.md#documentdb-2)  |  I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [Documento DB.3](documentdb-controls.md#documentdb-3)  |  Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Documento DB.4](documentdb-controls.md#documentdb-4)  |  I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Documento DB.5](documentdb-controls.md#documentdb-5)  |  I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Documento DB.6](documentdb-controls.md#documentdb-6)  | I cluster Amazon DocumentDB devono essere crittografati in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  Le tabelle DynamoDB devono avere il ripristino abilitato point-in-time  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [Dynamo DB.4](dynamodb-controls.md#dynamodb-4)  |  Le tabelle DynamoDB devono essere presenti in un piano di backup  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [Dynamo DB.5](dynamodb-controls.md#dynamodb-5)  | Le tabelle DynamoDB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Dynamo DB.6](dynamodb-controls.md#dynamodb-6)  |  Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Dynamo DB.7](dynamodb-controls.md#dynamodb-7)  | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Le istantanee EBS non devono essere ripristinabili pubblicamente  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  I gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS v3.2.1, Benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  I volumi EBS collegati devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  La registrazione del flusso VPC deve essere abilitata in tutti VPCs  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI DSS versione 3.2.1, benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  La crittografia predefinita di EBS deve essere abilitata  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS AWS Foundations v3.0.0, Buone pratiche di sicurezza AWS Foundational v1.0.0, benchmark CIS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS AWS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  Le istanze EC2 non devono avere un indirizzo pubblico IPv4  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2.  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  L'EC2 non utilizzato EIPs deve essere rimosso  |  PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 22 | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica | 
|  [EC 2.14](ec2-controls.md#ec2-14)  | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | Benchmark CIS Foundations v1.2.0, PCI DSS v4.0.1 AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  Le sottoreti EC2 non devono assegnare automaticamente indirizzi IP pubblici  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  Le istanze EC2 non devono utilizzarne più ENIs  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (ELEVATO)  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, AWS PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | I gruppi di sicurezza EC2 non utilizzati devono essere rimossi |   | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  I gateway di transito EC2 non dovrebbero accettare automaticamente le richieste di allegati VPC  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  I tipi di istanze paravirtuali EC2 non devono essere utilizzati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  I modelli di lancio di EC2 non devono assegnare interfacce di rete pubbliche IPs  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2,28](ec2-controls.md#ec2-28)  |  I volumi EBS devono essere inclusi in un piano di backup  |  NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [EC2,33](ec2-controls.md#ec2-33)  | Gli allegati del gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,34](ec2-controls.md#ec2-34)  | Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,35](ec2-controls.md#ec2-35)  | Le interfacce di rete EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,36](ec2-controls.md#ec2-36)  | I gateway per i clienti EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,37](ec2-controls.md#ec2-37)  | Gli indirizzi IP elastici EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,38](ec2-controls.md#ec2-38)  | Le istanze EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,39](ec2-controls.md#ec2-39)  | I gateway Internet EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,40](ec2-controls.md#ec2-40)  | I gateway NAT EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2.41](ec2-controls.md#ec2-41)  | La rete ACLs EC2 deve essere etichettata | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,42](ec2-controls.md#ec2-42)  | Le tabelle delle rotte EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,43](ec2-controls.md#ec2-43)  | I gruppi di sicurezza EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,44](ec2-controls.md#ec2-44)  | Le sottoreti EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,45](ec2-controls.md#ec2-45)  | I volumi EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,46](ec2-controls.md#ec2-46)  | Amazon VPCs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,47](ec2-controls.md#ec2-47)  | I servizi endpoint Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,48](ec2-controls.md#ec2-48)  | I log di flusso di Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,49](ec2-controls.md#ec2-49)  | Le connessioni peering Amazon VPC devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,50](ec2-controls.md#ec2-50)  | I gateway VPN EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,51](ec2-controls.md#ec2-51)  |  Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EC2,52](ec2-controls.md#ec2-52)  | I gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,53](ec2-controls.md#ec2-53)  | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EC 2.54](ec2-controls.md#ec2-54)  | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EC 2.5](ec2-controls.md#ec2-55)  | VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [EC2,56](ec2-controls.md#ec2-56)  | VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [EC2,57](ec2-controls.md#ec2-57)  | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [EC2,58](ec2-controls.md#ec2-58)  | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [EC2,60](ec2-controls.md#ec2-60)  | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [EC2.170](ec2-controls.md#ec2-170)  | I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2 | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Le connessioni VPN EC2 devono avere la registrazione abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EC2,172](ec2-controls.md#ec2-172)  | Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Le richieste Spot Fleet di EC2 con parametri di avvio dovrebbero abilitare la crittografia per i volumi EBS collegati | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EC2,174](ec2-controls.md#ec2-174)  | I set di opzioni DHCP EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,175](ec2-controls.md#ec2-175)  | I modelli di lancio di EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,176](ec2-controls.md#ec2-176)  | Gli elenchi di prefissi EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,177](ec2-controls.md#ec2-177)  | Le sessioni Traffic Mirror di EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,178](ec2-controls.md#ec2-178)  | I filtri Traffic Mirror EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,179](ec2-controls.md#ec2-179)  | Gli obiettivi dello specchio stradale EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EC2,180](ec2-controls.md#ec2-180)  | Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination  | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EC2,181](ec2-controls.md#ec2-181)  | I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EC2,182](ec2-controls.md#ec2-182)  | Le istantanee EBS non dovrebbero essere accessibili al pubblico | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Gli archivi privati ECR devono avere la scansione delle immagini configurata  | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Gli archivi privati ECR devono avere l'immutabilità dei tag configurata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Gli archivi ECR devono avere almeno una politica del ciclo di vita configurata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Gli archivi pubblici ECR devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Gli archivi ECR devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  Le definizioni delle attività ECS non devono condividere lo spazio dei nomi del processo dell'host  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  I contenitori ECS devono essere eseguiti come non privilegiati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  I segreti non devono essere passati come variabili di ambiente del contenitore  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  Le definizioni delle attività ECS devono avere una configurazione di registrazione  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  I cluster ECS devono utilizzare Container Insights  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | I servizi ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ECS.14](ecs-controls.md#ecs-14)  | I cluster ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ECS.15](ecs-controls.md#ecs-15)  | Le definizioni delle attività ECS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ECS.16](ecs-controls.md#ecs-16)  | I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECS.17](ecs-controls.md#ecs-17)  | Le definizioni delle attività ECS non devono utilizzare la modalità di rete host | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECS.18](ecs-controls.md#ecs-18)  | Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECS.19](ecs-controls.md#ecs-19)  | I fornitori di capacità ECS dovrebbero avere abilitato la protezione gestita dalla terminazione | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECS.20](ecs-controls.md#ecs-20)  | Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei contenitori Linux | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ECS.21](ecs-controls.md#ecs-21)  | Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EFS.1](efs-controls.md#efs-1)  |  Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EFS.2](efs-controls.md#efs-2)  |  I volumi Amazon EFS devono essere inclusi nei piani di backup  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EFS.3](efs-controls.md#efs-3)  |  I punti di accesso EFS devono applicare una directory principale  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EFS.4](efs-controls.md#efs-4)  |  I punti di accesso EFS devono applicare un'identità utente  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EFS.5](efs-controls.md#efs-5)  | I punti di accesso EFS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EFS.6](efs-controls.md#efs-6)  | Gli obiettivi di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EFS.7](efs-controls.md#efs-7)  | I file system EFS devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EFS.8](efs-controls.md#efs-8)  | I file system EFS devono essere crittografati quando sono inattivi | CIS AWS Foundations Benchmark v5.0.0, Buone pratiche di sicurezza di base AWS  | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EKS.1](eks-controls.md#eks-1)  |  Gli endpoint del cluster EKS non devono essere accessibili al pubblico  | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [EKS.2](eks-controls.md#eks-2)  |  I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EKS.3](eks-controls.md#eks-3)  | I cluster EKS devono utilizzare segreti Kubernetes crittografati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EKS.6](eks-controls.md#eks-6)  | I cluster EKS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EKS.7](eks-controls.md#eks-7)  | Le configurazioni dei provider di identità EKS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EKS.8](eks-controls.md#eks-8)  |  I cluster EKS dovrebbero avere la registrazione di controllo abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1).  | ElastiCache I cluster (Redis OSS) devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [ElastiCache2.](elasticache-controls.md#elasticache-2)  |  ElastiCache i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElastiCache3.](elasticache-controls.md#elasticache-3)  | ElastiCache i gruppi di replica devono avere il failover automatico abilitato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElastiCache4.](elasticache-controls.md#elasticache-4)  | ElastiCache i gruppi di replica dovrebbero essere encrypted-at-rest |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElastiCache5.](elasticache-controls.md#elasticache-5)  | ElastiCache i gruppi di replica dovrebbero essere encrypted-in-transit | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElastiCache6.](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElastiCache7.](elasticache-controls.md#elasticache-7)  | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1).  |  Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch  | AWS Migliori pratiche di sicurezza di base, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ELB.2](elb-controls.md#elb-2)  |  I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.3](elb-controls.md#elb-3)  |  I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Application Load Balancer deve essere configurato per eliminare le intestazioni http  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.5](elb-controls.md#elb-5)  |  La registrazione di Application e Classic Load Balancers deve essere abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.6](elb-controls.md#elb-6)  | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ELB.7](elb-controls.md#elb-7)  |  I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  | BASSO |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.8](elb-controls.md#elb-8)  |  I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.9](elb-controls.md#elb-9)  |  I sistemi Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer dovrebbe estendersi su più zone di disponibilità  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.13](elb-controls.md#elb-13)  |  I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Gli Application Load Balancer devono essere associati a un ACL web WAF AWS  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.17](elb-controls.md#elb-17)  | Gli Application e Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.18](elb-controls.md#elb-18)  | I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ELB.21](elb-controls.md#elb-21)  |  I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ELB.22](elb-controls.md#elb-22)  |  I gruppi bersaglio dell'ELB dovrebbero utilizzare protocolli di trasporto criptati  |  AWS Migliori pratiche di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EMR.1](emr-controls.md#emr-1)  | I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EMR.2](emr-controls.md#emr-2)  | L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [EMR.3](emr-controls.md#emr-3)  | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [EMR.4](emr-controls.md#emr-4)  | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ES.1](es-controls.md#es-1)  |  I domini Elasticsearch devono avere la crittografia a riposo abilitata  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ES.2](es-controls.md#es-2)  |  I domini Elasticsearch non dovrebbero essere accessibili al pubblico  | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [ES.3](es-controls.md#es-3)  |  I domini Elasticsearch devono crittografare i dati inviati tra i nodi  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ES.4](es-controls.md#es-4)  |  La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ES.5](es-controls.md#es-5)  |  I domini Elasticsearch devono avere la registrazione di controllo abilitata  | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ES.6](es-controls.md#es-6)  |  I domini Elasticsearch devono avere almeno tre nodi di dati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ES.7](es-controls.md#es-7)  |  I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [ES.8](es-controls.md#es-8)  | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [ES.9](es-controls.md#es-9)  | I domini Elasticsearch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EventBridge2.](eventbridge-controls.md#eventbridge-2)  | EventBridge gli event bus devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [EventBridge3.](eventbridge-controls.md#eventbridge-3)  |  EventBridge i bus di eventi personalizzati devono avere una politica basata sulle risorse allegata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [EventBridge4.](eventbridge-controls.md#eventbridge-4)  |  EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1).  | I tipi di entità Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [FraudDetector2.](frauddetector-controls.md#frauddetector-2)  | Le etichette di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [FraudDetector3.](frauddetector-controls.md#frauddetector-3)  | I risultati di Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [FraudDetector4.](frauddetector-controls.md#frauddetector-4)  | Le variabili di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [FSx1](fsx-controls.md#fsx-1).  |  FSx per OpenZFS i file system devono essere configurati per copiare i tag su backup e volumi  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Periodic (Periodico) | 
|  [FSx2.](fsx-controls.md#fsx-2)  | FSx per Lustre i file system devono essere configurati per copiare i tag nei backup | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [FSx3.](fsx-controls.md#fsx-3)  | FSx per OpenZFS i file system devono essere configurati per l'implementazione Multi-AZ | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [FSx4.](fsx-controls.md#fsx-4)  | FSx per NetApp ONTAP i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [FSx5.](fsx-controls.md#fsx-5)  | FSx per Windows File Server i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Colla. 1](glue-controls.md#glue-1)  | AWS Glue i lavori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Colla. 3](glue-controls.md#glue-3)  | AWS Glue le trasformazioni di apprendimento automatico devono essere crittografate a riposo | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Colla. 4](glue-controls.md#glue-4)  | AWS Glue I job Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1).  | Gli acceleratori Global Accelerator devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1).  |  GuardDuty dovrebbe essere abilitato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [GuardDuty2.](guardduty-controls.md#guardduty-2)  | GuardDuty i filtri devono essere etichettati  | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [GuardDuty3.](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets deve essere etichettato  | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [GuardDuty4.](guardduty-controls.md#guardduty-4)  | GuardDuty i rilevatori devono essere etichettati  | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [GuardDuty5.](guardduty-controls.md#guardduty-5)  | GuardDuty EKS Audit Log Monitoring deve essere abilitato | AWS Migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty6.](guardduty-controls.md#guardduty-6)  | GuardDuty La protezione Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty7.](guardduty-controls.md#guardduty-7)  | GuardDuty EKS Runtime Monitoring deve essere abilitato | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty8.](guardduty-controls.md#guardduty-8)  | GuardDuty La protezione da malware per EC2 deve essere abilitata | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty9.](guardduty-controls.md#guardduty-9)  | GuardDuty La protezione RDS deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty La protezione S3 deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty1.1](guardduty-controls.md#guardduty-11)  | GuardDuty Il monitoraggio del runtime deve essere abilitato | AWS Migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty1.2](guardduty-controls.md#guardduty-12)  | GuardDuty Il monitoraggio del runtime ECS deve essere abilitato | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | GuardDuty Il monitoraggio del runtime di EC2 deve essere abilitato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [IAM.1](iam-controls.md#iam-1)  |  Le politiche IAM non dovrebbero consentire privilegi amministrativi completi «\$1»  | Benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS versione 3.2.1, benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Gli utenti IAM non devono avere policy IAM allegate  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di AWS base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.4](iam-controls.md#iam-4)  |  La chiave di accesso utente root IAM non dovrebbe esistere  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST AWS SP 800-53 Rev. 5 AWS  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.5](iam-controls.md#iam-5)  |  L'MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password di console  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.6](iam-controls.md#iam-6)  |  La MFA hardware deve essere abilitata per l'utente root  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 AWS  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Le credenziali utente IAM non utilizzate devono essere rimosse  | Benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.9](iam-controls.md#iam-9)  |  L'MFA deve essere abilitata per l'utente root  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI DSS AWS versione 4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IO SONO 10](iam-controls.md#iam-10)  |  Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide  | NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola  | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Assicurati che la politica delle password IAM richieda almeno una lettera minuscola  | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Assicurati che la politica delle password IAM richieda almeno un simbolo  | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Assicurati che la politica delle password IAM richieda almeno un numero  | Benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Verifica che la policy delle password di IAM impedisca il riutilizzo delle password  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno  | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IO HO 19 ANNI](iam-controls.md#iam-19)  |  L'MFA deve essere abilitata per tutti gli utenti IAM  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Le policy gestite dai clienti IAM che crei non dovrebbero consentire azioni jolly per i servizi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [IO HO 22 ANNI](iam-controls.md#iam-22)  |  Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [IO HO 23 ANNI](iam-controls.md#iam-23)  | Gli analizzatori IAM Access Analyzer devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IO HO 24 ANNI](iam-controls.md#iam-24)  | I ruoli IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [HO 25 ANNI](iam-controls.md#iam-25)  | Gli utenti IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IO HO 26 ANNI](iam-controls.md#iam-26) |  SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [IO SONO 27](iam-controls.md#iam-27)  | La policy non dovrebbe essere allegata alle identità IAM AWSCloud ShellFullAccess  | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [IO HO 28 ANNI](iam-controls.md#iam-28)  | L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Ispettore.1](inspector-controls.md#inspector-1)  | La scansione di Amazon Inspector EC2 deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Ispettore.2](inspector-controls.md#inspector-2)  | La scansione ECR di Amazon Inspector deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Ispettore.3](inspector-controls.md#inspector-3)  | La scansione del codice Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Ispettore.4](inspector-controls.md#inspector-4)  | La scansione standard di Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender i profili di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core le azioni di mitigazione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core le dimensioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core gli autorizzatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core gli alias di ruolo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core le politiche devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TEventsIon 1.](iotevents-controls.md#iotevents-1)  | AWS IoT Events gli input devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TEventsIon 2.](iotevents-controls.md#iotevents-2)  | AWS IoT Events i modelli di rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TEventsIon 3.](iotevents-controls.md#iotevents-3)  | AWS IoT Events i modelli di allarme devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Wise.1 TSite](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise i modelli di asset devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Wise.2 TSite](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise i pannelli di controllo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Wise.3 TSite](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise i gateway devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Wise.4 TSite](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise i portali devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Wise.5 TSite](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise i progetti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Maker.1 TTwin](iottwinmaker-controls.md#iottwinmaker-1)  | AWS I lavori di TwinMaker sincronizzazione IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Maker.2 TTwin](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker Le scene IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Io Maker.4 TTwin](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker Le entità IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TWirelessIon 1.](iotwireless-controls.md#iotwireless-1)  | AWS I gruppi multicast IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TWirelessIon 2.](iotwireless-controls.md#iotwireless-2)  | AWS I profili dei servizi IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [TWirelessIon 3.](iotwireless-controls.md#iotwireless-3)  | AWS Le attività IOT Wireless FUOTA devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Le coppie di chiavi di riproduzione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IVS.2](ivs-controls.md#ivs-2)  | Le configurazioni di registrazione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [IVS.3](ivs-controls.md#ivs-3)  | I canali IVS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Spazi chiavi.1](keyspaces-controls.md#keyspaces-1)  | Gli spazi chiave di Amazon Keyspaces devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Gli stream Kinesis devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Cinesi.2](kinesis-controls.md#kinesis-2)  | Gli stream Kinesis devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Cinesi.3](kinesis-controls.md#kinesis-3)  | I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [KMS.1](kms-controls.md#kms-1)  |  Le politiche gestite dai clienti IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [KMS.2](kms-controls.md#kms-2)  |  I responsabili IAM non dovrebbero disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys non deve essere eliminato involontariamente  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key la rotazione dovrebbe essere abilitata  | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI AWS DSS versione 4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [KMS.5](kms-controls.md#kms-5)  | Le chiavi KMS non devono essere accessibili al pubblico | AWS Migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Le funzioni Lambda devono utilizzare runtime supportati  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Le funzioni Lambda devono trovarsi in un VPC  |  PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  Le funzioni VPC Lambda devono funzionare in più zone di disponibilità  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Le funzioni Lambda devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Le funzioni Lambda devono avere la traccia AWS X-Ray attiva abilitata | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie dovrebbe essere abilitato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [Macie.2](macie-controls.md#macie-2)  | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [MSK.1](msk-controls.md#msk-1)  |  I cluster MSK devono essere crittografati durante il transito tra i nodi del broker  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [MSK.2](msk-controls.md#msk-2)  |  I cluster MSK dovrebbero avere un monitoraggio avanzato configurato  |  NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [MSK.3](msk-controls.md#msk-3)  | I connettori MSK Connect devono essere crittografati durante il transito | AWS Migliori pratiche di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Modifica attivata | 
|  [MSK.4](msk-controls.md#msk-4)  | L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato | AWS Migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [MSK.5](msk-controls.md#msk-5)  | I connettori MSK devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [MSK.6](msk-controls.md#msk-6)  | I cluster MSK devono disabilitare l'accesso non autenticato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [MQ. 2](mq-controls.md#mq-2)  | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [MQ.4](mq-controls.md#mq-4)  | I broker Amazon MQ devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [MQ.5](mq-controls.md#mq-5)  |  I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby  | NIST SP 800-53 Rev. 5 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [MQ.6](mq-controls.md#mq-6)  |  I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione cluster  | NIST SP 800-53 Rev. 5 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.1](neptune-controls.md#neptune-1)  |  I cluster Neptune DB devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Modifica attivata | 
|  [Nettuno.2](neptune-controls.md#neptune-2)  |  I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Modifica attivata | 
|  [Nettuno.3](neptune-controls.md#neptune-3)  |  Le istantanee del cluster Neptune DB non devono essere pubbliche  | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.4](neptune-controls.md#neptune-4)  |  I cluster Neptune DB devono avere la protezione da eliminazione abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.5](neptune-controls.md#neptune-5)  |  I cluster Neptune DB devono avere i backup automatici abilitati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [Nettuno.6](neptune-controls.md#neptune-6)  |  Le istantanee del cluster Neptune DB devono essere crittografate a riposo  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.7](neptune-controls.md#neptune-7)  |  I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.8](neptune-controls.md#neptune-8)  |  I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Nettuno.9](neptune-controls.md#neptune-9)  |  I cluster Neptune DB devono essere distribuiti su più zone di disponibilità  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1).  |  I firewall Network Firewall devono essere implementati su più zone di disponibilità  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2)  |  La registrazione del Network Firewall deve essere abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3)  |  Le policy del Network Firewall devono avere almeno un gruppo di regole associato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4)  |  L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi.  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5)  |  L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6)  |  Il gruppo di regole del firewall di rete stateless non deve essere vuoto  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7)  | I firewall Network Firewall devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8)  | Le politiche firewall del Network Firewall devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9)  |  I firewall Network Firewall devono avere la protezione da eliminazione abilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch i domini devono avere la crittografia a riposo abilitata  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch i domini non dovrebbero essere accessibili al pubblico  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch i domini devono crittografare i dati inviati tra i nodi  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch i domini devono avere la registrazione di controllo abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch i domini devono avere almeno tre nodi di dati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch i domini devono avere un controllo granulare degli accessi abilitato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza TLS più recente |  AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Ricerca aperta. 9](opensearch-controls.md#opensearch-9)  | OpenSearch i domini devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Ricerca aperta. 10](opensearch-controls.md#opensearch-10)  |  OpenSearch nei domini dovrebbe essere installato l'ultimo aggiornamento software  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Ricerca aperta. 11](opensearch-controls.md#opensearch-11)  | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA l'autorità di certificazione principale deve essere disabilitata  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  | Periodic (Periodico) | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Le autorità di certificazione CA private devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.1](rds-controls.md#rds-1)  |  L'istantanea RDS deve essere privata  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.2](rds-controls.md#rds-2)  |  Le istanze DB RDS devono vietare l'accesso pubblico, come stabilito dalla configurazione PubliclyAccessible  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, best practice di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Le istanze DB RDS devono avere la crittografia a riposo abilitata  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundational Security Best Practices v1.0.0, NIST SP 800-53 AWS Rev. 5 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.5](rds-controls.md#rds-5)  |  Le istanze DB RDS devono essere configurate con più zone di disponibilità  | Benchmark CIS AWS Foundations v5.0.0, Buone pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Il monitoraggio avanzato deve essere configurato per le istanze DB RDS  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [RDS.7](rds-controls.md#rds-7)  |  I cluster RDS devono avere la protezione da eliminazione abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Le istanze DB RDS devono avere la protezione da eliminazione abilitata  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.9](rds-controls.md#rds-9)  | Le istanze DB RDS devono pubblicare i log in Logs CloudWatch  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.10](rds-controls.md#rds-10)  |  L'autenticazione IAM deve essere configurata per le istanze RDS  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Le istanze RDS devono avere i backup automatici abilitati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [RDS.12](rds-controls.md#rds-12)  |  L'autenticazione IAM deve essere configurata per i cluster RDS  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, migliori pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.14](rds-controls.md#rds-14)  |  I cluster Amazon Aurora dovrebbero avere il backtracking abilitato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [RDS.15](rds-controls.md#rds-15)  |  I cluster RDS DB devono essere configurati per più zone di disponibilità  | Benchmark CIS AWS Foundations v5.0.0, Buone pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.16](rds-controls.md#rds-16)  | I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO  | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [RDS.17](rds-controls.md#rds-17)  |  Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.18](rds-controls.md#rds-18)  |  Le istanze RDS devono essere distribuite in un VPC  |   |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici del cluster  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici delle istanze di database  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.21](rds-controls.md#rds-21)  |  È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.22](rds-controls.md#rds-22)  |  È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.23](rds-controls.md#rds-23)  |  Le istanze RDS non devono utilizzare una porta predefinita del motore di database  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.24](rds-controls.md#rds-24)  |  I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.25](rds-controls.md#rds-25)  |  Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.26](rds-controls.md#rds-26)  |  Le istanze DB RDS devono essere protette da un piano di backup  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [RDS.27](rds-controls.md#rds-27)  |  I cluster RDS DB devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.28](rds-controls.md#rds-28)  | I cluster DB RDS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.29](rds-controls.md#rds-29)  | Le istantanee del cluster RDS DB devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.30](rds-controls.md#rds-30)  | Le istanze DB RDS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.31](rds-controls.md#rds-31)  | I gruppi di sicurezza RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.32](rds-controls.md#rds-32)  | Le istantanee RDS DB devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.33](rds-controls.md#rds-33)  | I gruppi di sottoreti RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.34](rds-controls.md#rds-34)  |  I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [RDS.36](rds-controls.md#rds-36)  | Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch  | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.37](rds-controls.md#rds-37)  | I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch  | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [RDS.38](rds-controls.md#rds-38)  | Le istanze DB RDS per PostgreSQL devono essere crittografate in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.39](rds-controls.md#rds-39)  | Le istanze DB RDS per MySQL devono essere crittografate in transito | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.40](rds-controls.md#rds-40)  | Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [RDS.41](rds-controls.md#rds-41)  | Le istanze DB di RDS per SQL Server devono essere crittografate in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.42](rds-controls.md#rds-42)  | Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch  | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [RDS.43](rds-controls.md#rds-43)  | I proxy RDS DB devono richiedere la crittografia TLS per le connessioni | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.44](rds-controls.md#rds-44)  | Le istanze RDS per MariaDB DB devono essere crittografate durante il transito | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.45](rds-controls.md#rds-45)  | I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.46](rds-controls.md#rds-46)  | Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RDS.47](rds-controls.md#rds-47)  | I cluster DB RDS per PostgreSQL devono essere configurati per copiare i tag nelle istantanee del DB | AWS Best practice di sicurezza di base | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [RDS.48](rds-controls.md#rds-48)  | I cluster DB RDS per MySQL devono essere configurati per copiare i tag nelle istantanee del DB | AWS Best practice di sicurezza di base | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [RDS.50](rds-controls.md#rds-50)  |  È necessario impostare un periodo di conservazione dei backup sufficiente per i cluster RDS DB  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) Sì  |  Modifica attivata  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  I cluster Amazon Redshift devono avere le istantanee automatiche abilitate  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  I cluster Amazon Redshift devono avere la registrazione di controllo abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  I cluster Redshift devono utilizzare un routing VPC avanzato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  I cluster Redshift devono essere crittografati quando sono inattivi  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | I cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Redshift 12](redshift-controls.md#redshift-12)  | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Redshift 13](redshift-controls.md#redshift-13)  | Le istantanee del cluster Redshift devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Redshift 14](redshift-controls.md#redshift-14)  | I gruppi di sottoreti del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Redshift 15](redshift-controls.md#redshift-15)  | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | I gruppi di sottoreti del cluster Redshift devono avere sottoreti provenienti da più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Redshift 17](redshift-controls.md#redshift-17)  | I gruppi di parametri del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Redshift 18](redshift-controls.md#redshift-18)  | I cluster Redshift devono avere implementazioni Multi-AZ abilitate | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1).  | I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato | AWS Best practice di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2)  | Le connessioni ai gruppi di lavoro Serverless di Redshift devono essere necessarie per utilizzare SSL. | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3)  | I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4)  | I namespace Serverless di Redshift devono essere crittografati con gestione del cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) | 
|  [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5)  | I namespace Redshift Serverless non devono utilizzare il nome utente amministratore predefinito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6)  | I namespace Redshift Serverless devono esportare i log in Logs CloudWatch  | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Percorso 53.1](route53-controls.md#route53-1)  | I controlli sanitari della Route 53 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Percorso 53.2](route53-controls.md#route53-2)  |  Le zone ospitate pubbliche di Route 53 devono registrare le query DNS  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [S3.1](s3-controls.md#s3-1)  | I bucket S3 per uso generico devono avere le impostazioni di blocco dell'accesso pubblico abilitate | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI AWS DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [S3.2](s3-controls.md#s3-2)  | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico alla lettura | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica | 
|  [S3.3](s3-controls.md#s3-3)  | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica | 
|  [S3.5](s3-controls.md#s3-5)  | I bucket S3 per uso generico dovrebbero richiedere l'utilizzo di SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.6](s3-controls.md#s3-6)  | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.7](s3-controls.md#s3-7)  | I bucket S3 per uso generico devono utilizzare la replica tra regioni | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.8](s3-controls.md#s3-8)  | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, best practice di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS  | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.9](s3-controls.md#s3-9)  | I bucket S3 per uso generico devono avere la registrazione degli accessi al server abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.10](s3-controls.md#s3-10)  | I bucket S3 per uso generico con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.11](s3-controls.md#s3-11)  | I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs non deve essere utilizzato per gestire l'accesso degli utenti ai bucket generici S3 | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.13](s3-controls.md#s3-13)  | I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [S3.14](s3-controls.md#s3-14)  | I bucket S3 per uso generico devono avere il controllo delle versioni abilitato | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.15](s3-controls.md#s3-15)  | I bucket S3 per uso generico devono avere Object Lock abilitato | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [S3.17](s3-controls.md#s3-17)  | I bucket S3 per uso generico devono essere crittografati quando sono inattivi con AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.19](s3-controls.md#s3-19)  | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.20](s3-controls.md#s3-20)  | I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS  | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.22](s3-controls.md#s3-22)  | I bucket S3 per uso generico dovrebbero registrare gli eventi di scrittura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [S3.23](s3-controls.md#s3-23)  | I bucket S3 per uso generico dovrebbero registrare gli eventi di lettura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [S3.24](s3-controls.md#s3-24)  | I punti di accesso multiregione S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [S3.25](s3-controls.md#s3-25)  | I bucket di directory S3 devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1).  |  Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [SageMaker2.](sagemaker-controls.md#sagemaker-2)  |  SageMaker le istanze dei notebook devono essere avviate in un VPC personalizzato  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker3.](sagemaker-controls.md#sagemaker-3)  |  Gli utenti non devono avere accesso root alle istanze del SageMaker notebook  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker4.](sagemaker-controls.md#sagemaker-4)  | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze maggiore di 1 | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [SageMaker5.](sagemaker-controls.md#sagemaker-5)  | SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [SageMaker6.](sagemaker-controls.md#sagemaker-6)  | SageMaker le configurazioni delle immagini delle app devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SageMaker7.](sagemaker-controls.md#sagemaker-7)  | SageMaker le immagini devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SageMaker8.](sagemaker-controls.md#sagemaker-8)  | SageMaker le istanze di notebook devono essere eseguite su piattaforme supportate | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [SageMaker9.](sagemaker-controls.md#sagemaker-9)  |  SageMaker le definizioni dei lavori relativi alla qualità dei dati dovrebbero avere abilitata la crittografia del traffico tra container  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker le definizioni dei processi di spiegabilità dei modelli dovrebbero avere abilitata la crittografia del traffico tra container  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker le definizioni dei lavori relativi alla qualità dei dati dovrebbero avere l'isolamento della rete abilitato  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker1.2](sagemaker-controls.md#sagemaker-12)  |  SageMaker le definizioni dei job di model bias dovrebbero avere l'isolamento della rete abilitato  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker1.3](sagemaker-controls.md#sagemaker-13)  |  SageMaker le definizioni dei lavori di qualità del modello dovrebbero avere abilitata la crittografia del traffico tra container  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker1.4](sagemaker-controls.md#sagemaker-14)  |  SageMaker le pianificazioni di monitoraggio dovrebbero avere l'isolamento della rete abilitato  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker le definizioni dei job di model bias dovrebbero avere abilitata la crittografia del traffico tra container  |  AWS Best practice di sicurezza di base v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1).  |  I segreti di Secrets Manager devono avere la rotazione automatica abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2)  |  I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3)  |  Rimuovi i segreti inutilizzati di Secrets Manager  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4)  |  I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Periodic (Periodico)  | 
|  [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5)  | I segreti di Secrets Manager devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1).  | I portafogli Service Catalog devono essere condivisi solo all'interno di un' AWS organizzazione | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [SES.1](ses-controls.md#ses-1)  | Gli elenchi di contatti SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SES.2](ses-controls.md#ses-2)  | I set di configurazione SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SES.3](ses-controls.md#ses-3)  | I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [SNS.1](sns-controls.md#sns-1)  | Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [SNS.3](sns-controls.md#sns-3)  | Gli argomenti SNS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SNS.4](sns-controls.md#sns-4)  | Le politiche di accesso agli argomenti di SNS non dovrebbero consentire l'accesso pubblico | AWS Le migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Le code Amazon SQS devono essere crittografate quando sono inattive  |  AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | Le code SQS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico | AWS Le migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  Le istanze EC2 devono essere gestite da AWS Systems Manager  |  AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch.  | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ELEVATO)  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT  | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  I documenti SSM non devono essere pubblici  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  CRITICO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | I documenti SSM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM Automation dovrebbe avere la registrazione abilitata CloudWatch  | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [SSM.7](ssm-controls.md#ssm-7)  | I documenti SSM devono avere l'impostazione di blocco della condivisione pubblica abilitata | AWS Best practice di sicurezza di base v1.0.0 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1).  |  Le macchine a stati Step Functions dovrebbero avere la registrazione attivata  | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì  |  Modifica attivata  | 
|  [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2)  | Le attività di Step Functions devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Trasferimento.1](transfer-controls.md#transfer-1)  | I flussi di lavoro Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Trasferimento.2](transfer-controls.md#transfer-2)  | I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) | 
|  [Trasferimento.3](transfer-controls.md#transfer-3)  | I connettori Transfer Family devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [Trasferimento.4](transfer-controls.md#transfer-4)  | Gli accordi Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Trasferimento.5](transfer-controls.md#transfer-5)  | I certificati Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Trasferimento.6](transfer-controls.md#transfer-6)  | I connettori Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [Trasferimento.7](transfer-controls.md#transfer-7)  | I profili Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS La registrazione WAF Classic Global Web ACL deve essere abilitata  | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Le regole regionali di WAF Classic devono avere almeno una condizione  |  AWS Migliori pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS I gruppi di regole regionali WAF Classic devono avere almeno una regola  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS Il web regionale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Le regole globali di WAF Classic devono avere almeno una condizione  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS I gruppi di regole globali di WAF Classic devono avere almeno una regola  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS Il web globale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS Il web WAF ACLs dovrebbe avere almeno una regola o un gruppo di regole  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS La registrazione WAF Web ACL deve essere abilitata  | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 |  BASSO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Periodic (Periodico)  | 
|  [AF.12](waf-controls.md#waf-12)  |  AWS Le regole WAF devono avere le metriche abilitate CloudWatch  |  AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No  |  Modifica attivata  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1).  | WorkSpaces i volumi utente devono essere crittografati quando sono inattivi | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 
|  [WorkSpaces2.](workspaces-controls.md#workspaces-2)  | WorkSpaces i volumi root devono essere crittografati quando sono inattivi | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata | 

# Registro delle modifiche per i controlli CSPM di Security Hub
<a name="controls-change-log"></a>

Il seguente registro delle modifiche tiene traccia delle modifiche sostanziali ai controlli CSPM esistenti di AWS Security Hub, che possono comportare modifiche allo stato generale di un controllo e allo stato di conformità dei risultati. Per informazioni su come Security Hub CSPM valuta lo stato del controllo, vedere. [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md) Le modifiche possono richiedere alcuni giorni dopo la loro immissione in questo registro per avere effetto su tutte le aree Regioni AWS in cui il controllo è disponibile.

Questo registro tiene traccia delle modifiche avvenute dall'aprile 2023. Scegli un controllo per visualizzare ulteriori dettagli al riguardo. Le modifiche al titolo vengono annotate nella descrizione dettagliata di un controllo per 90 giorni.


| Data di modifica | ID e titolo del controllo | Descrizione della modifica | 
| --- | --- | --- | 
| 3 aprile 2026 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.32`. `1.33` Il supporto standard per Kubernetes versione 1.32 in Amazon EKS è terminato il 23 marzo 2026.  | 
| 3 aprile 2026 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Il parametro Lambda.2 per i runtime supportati non include più poiché ruby3.2 Lambda ha reso obsoleto questo runtime. | 
| 24 marzo 2026 | [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) | Security Hub CSPM ha aggiornato il titolo del controllo per indicare che il controllo controlla tutti i cluster DB RDS. | 
| 24 marzo 2026 | [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) | Security Hub CSPM ha aggiornato il titolo e la descrizione del controllo per indicare che il controllo verifica le definizioni delle attività ECS. Security Hub CSPM ha inoltre aggiornato il controllo per non generare risultati per le definizioni delle attività con `runtimePlatform` configurato per specificare una famiglia di `WINDOWS_SERVER` sistemi operativi. | 
| 9 marzo 2026 | [AppSync.1] Le cache delle AWS AppSync API devono essere crittografate quando sono inattive | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future. | 
| 9 marzo 2026 | [AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future. | 
| 4 marzo 2026 | [ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (FSBP) e dallo standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| 5 febbraio 2026 | [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) | Security Hub CSPM ritirerà questo controllo e lo rimuoverà da tutti gli standard CSPM Security Hub applicabili il 9 marzo 2026. AWS AppSync fornisce la crittografia predefinita su tutte le cache API attuali e future. | 
| 5 febbraio 2026 | [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) | Security Hub CSPM ritirerà questo controllo e lo rimuoverà da tutti gli standard CSPM Security Hub applicabili il 9 marzo 2026. AWS AppSync fornisce la crittografia predefinita su tutte le cache API attuali e future. | 
| 16 gennaio 2026 | [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) | Security Hub CSPM ha comunicato che questo controllo verrà ritirato e rimosso da tutti gli standard CSPM di Security Hub applicabili dopo il 16 febbraio 2026. | 
| 12 gennaio 2026 | [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) | Security Hub CSPM ha aggiornato questo controllo per rimuovere il `loggingEnabled` parametro. | 
| 12 gennaio 2026 | [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie | Security Hub CSPM ha ritirato il controllo e lo ha rimosso da tutti gli standard applicabili. Security Hub CSPM ha ritirato il controllo a causa dei requisiti di Amazon MQ per gli aggiornamenti automatici delle versioni minori. [In precedenza, il controllo si applicava allo standard [AWS Foundational Security Best Practices (FSBP), allo standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5 e allo standard PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 12 gennaio 2026 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `dotnet10` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. | 
| 15 dicembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `python3.9` come valore di parametro per questo controllo. AWS Lambda non supporta più questo runtime. | 
| 12 dicembre 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.31`. `1.32` Il supporto standard per Kubernetes versione 1.31 in Amazon EKS è terminato il 26 novembre 2025.  | 
| 21 novembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `nodejs24.x` e `python3.14` come valori dei parametri per questo controllo. AWS Lambda ha aggiunto il supporto per questi runtime. | 
| 14 novembre 2025 | [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) | Security Hub CSPM ha aggiornato la descrizione e le motivazioni di questo controllo. In precedenza, il controllo controllava solo l'assegnazione automatica degli IP IPv4 pubblici nelle sottoreti Amazon VPC utilizzando il flag. `MapPublicIpOnLaunch` Questo controllo ora verifica sia IPv4 l'assegnazione automatica degli IP IPv6 pubblici che quella degli IP. La descrizione e la motivazione del controllo sono state aggiornate per riflettere queste modifiche. | 
| 14 novembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `java25` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. | 
| 13 novembre 2025 | [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `CRITICAL` Consentire l'accesso pubblico agli argomenti di Amazon SNS rappresenta un rischio significativo per la sicurezza. | 
| 13 novembre 2025 | [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `CRITICAL` Consentire l'accesso pubblico alle code di Amazon SQS rappresenta un rischio significativo per la sicurezza. | 
| 13 novembre 2025 | [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `HIGH` Questo tipo di monitoraggio del runtime fornisce un rilevamento avanzato delle minacce per le risorse Amazon EKS. | 
| 13 novembre 2025 | [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` Gli aggiornamenti di versione minori includono le patch di sicurezza necessarie per mantenere la sicurezza del broker Amazon MQ. | 
| 13 novembre 2025 | [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` Gli aggiornamenti software includono patch di sicurezza necessarie per mantenere OpenSearch la sicurezza del dominio. | 
| 13 novembre 2025 | [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` La protezione dall'eliminazione aiuta a prevenire l'eliminazione accidentale dei database Amazon RDS e l'eliminazione dei database RDS da parte di entità non autorizzate. | 
| 13 novembre 2025 | [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` AWS CloudTrail i dati di registrazione in Amazon CloudWatch Logs possono essere utilizzati per attività di audit, allarmi e altre importanti operazioni di sicurezza. | 
| 13 novembre 2025 | [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `MEDIUM` La condivisione di AWS Service Catalog portafogli con account specifici potrebbe essere intenzionale e non indica necessariamente che un portafoglio sia accessibile al pubblico. | 
| 13 novembre 2025 | [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `LOW` I nomi di `cloudfront.net` dominio predefiniti per CloudFront le distribuzioni Amazon vengono generati in modo casuale, il che riduce i rischi per la sicurezza. | 
| 13 novembre 2025 | [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `LOW` Nelle implementazioni a più istanze, altre istanze integre possono gestire le sessioni utente quando un'istanza viene terminata senza esaurire la connessione, il che riduce l'impatto operativo e i rischi di disponibilità. | 
| 13 novembre 2025 | [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM ha aggiornato questo controllo per rimuovere il parametro opzionale`validAdminUserNames`. | 
| 23 ottobre 2025 | [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) | Security Hub CSPM ha annullato le modifiche apportate al titolo, alla descrizione e alla regola per questo controllo il 14 ottobre 2025. | 
| 22 ottobre 2025 | [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM ha aggiornato questo controllo per non generare risultati per le CloudFront distribuzioni Amazon che utilizzano origini personalizzate.  | 
| 16 ottobre 2025 | [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) | Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare una politica di sicurezza TLS consigliata. Security Hub CSPM ora supporta `TLSv1.2_2025` e `TLSv1.3_2025` come valori dei parametri per questo controllo. | 
| 14 ottobre 2025 | [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) | Security Hub CSPM ha modificato il titolo, la descrizione e la regola per questo controllo. [In precedenza, il controllo controllava i cluster Redis OSS e tutti i gruppi di replica, utilizzando la regola -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) Il titolo del controllo era: *ElastiCache (Redis OSS*) i cluster dovrebbero avere i backup automatici abilitati. [Questo controllo ora controlla i cluster Valkey oltre ai cluster Redis OSS e tutti i gruppi di replica, utilizzando la regola -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) Il nuovo titolo e la nuova descrizione indicano che il controllo controlla entrambi i tipi di cluster.  | 
| 5 ottobre 2025 | [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) | La regola per questo controllo è stata aggiornata per generare anche un `PASSED` risultato se un dominio Amazon OpenSearch Service non ha aggiornamenti software disponibili e lo stato dell'aggiornamento non è idoneo. In precedenza, questo controllo generava un `PASSED` risultato solo se un OpenSearch dominio non aveva aggiornamenti software disponibili e lo stato dell'aggiornamento era completo.  | 
| 24 settembre 2025 | [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito [RedshiftServerless.7] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome di database predefinito | Security Hub CSPM ha ritirato questi controlli e li ha rimossi da tutti gli standard applicabili. Security Hub CSPM ha ritirato questi controlli a causa delle limitazioni intrinseche di Amazon Redshift che impedivano l'efficace correzione dei risultati dei controlli. `FAILED` [In precedenza, i controlli si applicavano allo standard [AWS Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) e allo standard NIST SP 800-53 Rev. 5.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) [Il controllo Redshift.9 si applicava anche allo standard gestito dai AWS Control Tower servizi.](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)  | 
| 9 settembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `nodejs18.x` come valore di parametro per questo controllo. AWS Lambda non supporta più i runtime di Node.js 18. | 
| 13 agosto 2025 | [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM ha modificato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più accurato che il controllo verifica l'impostazione del `EnableNetworkIsolation` parametro dei modelli ospitati da Amazon SageMaker AI. In precedenza, il titolo di questo controllo era: *SageMaker models should block inbound traffic*.  | 
| 13 agosto 2025 | [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) | Security Hub CSPM ha modificato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più preciso l'ambito e la natura del controllo eseguito dal controllo. In precedenza, il titolo di questo controllo era: *EFS mount targets should not be associated with a public subnet*.  | 
| 24 luglio 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.30`. `1.31` Il supporto standard per la versione 1.30 di Kubernetes in Amazon EKS è terminato il 23 luglio 2025.  | 
| 23 luglio 2025 | [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) | Security Hub CSPM ha cambiato il titolo di questo controllo. Il nuovo titolo riflette in modo più accurato che il controllo controlla solo le richieste di Amazon EC2 Spot Fleet che specificano i parametri di lancio. In precedenza, il titolo di questo controllo era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| 30 giugno 2025 | [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) | Security Hub CSPM ha rimosso questo controllo dallo standard [PCI DSS](pci-standard.md) v4.0.1. PCI DSS v4.0.1 non richiede esplicitamente l'uso di simboli nelle password.  | 
| 30 giugno 2025 | [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) | Security Hub CSPM ha rimosso questo controllo dallo standard [NIST SP 800-171](standards-reference-nist-800-171.md) Revision 2. NIST SP 800-171 Revisione 2 non richiede esplicitamente periodi di scadenza delle password di 90 giorni o meno.  | 
| 30 giugno 2025 | [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) | Security Hub CSPM ha cambiato il titolo di questo controllo. Il nuovo titolo riflette in modo più accurato che il controllo controlla solo i cluster DB di Amazon Aurora. In precedenza, il titolo di questo controllo era:. *RDS DB clusters should be configured to copy tags to snapshots* | 
| 30 giugno 2025 | [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) | Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI è configurata per l'esecuzione su una piattaforma supportata, in base all'identificatore della piattaforma specificato per l'istanza del notebook. Security Hub CSPM non supporta più `notebook-al2-v1` e `notebook-al2-v2` come valori dei parametri per questo controllo. Le istanze di notebook eseguite su queste piattaforme hanno raggiunto la fine del supporto il 30 giugno 2025. | 
| 30 maggio 2025 | [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) | Security Hub CSPM ha rimosso questo controllo dallo standard [PCI DSS](pci-standard.md) v4.0.1. Questo controllo verifica se le politiche relative alle password degli account per gli utenti IAM soddisfano i requisiti minimi, inclusa una lunghezza minima della password di 7 caratteri. PCI DSS v4.0.1 ora richiede che le password abbiano un minimo di 8 caratteri. Il controllo continua ad applicarsi allo standard PCI DSS v3.2.1, che ha requisiti di password diversi. [Per valutare le politiche relative alle password degli account rispetto ai requisiti PCI DSS v4.0.1, è possibile utilizzare il controllo IAM.7.](iam-controls.md#iam-7) Questo controllo richiede che le password abbiano un minimo di 8 caratteri. Supporta anche valori personalizzati per la lunghezza della password e altri parametri. Il controllo IAM.7 fa parte dello standard PCI DSS v4.0.1 in Security Hub CSPM.  | 
| 8 maggio 2025 | [RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | Security Hub CSPM ha ripristinato completamente il rilascio del controllo RDS.46. Regioni AWS In precedenza, questo controllo supportava lo standard AWS Foundational Security Best Practices (FSBP). | 
| 7 aprile 2025 | [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) | Questo controllo verifica se il listener HTTPS per un Application Load Balancer o il listener TLS per un Network Load Balancer è configurato per crittografare i dati in transito utilizzando una politica di sicurezza consigliata. Security Hub CSPM ora supporta due valori di parametro aggiuntivi per questo controllo: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` e. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` | 
| 27 marzo 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `ruby3.4` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. | 
| 26 marzo 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Per il `oldestVersionSupported` parametro, Security Hub CSPM ha modificato il valore da a`1.29`. `1.30` La versione più vecchia di Kubernetes supportata è ora. `1.30` | 
| 10 marzo 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `dotnet6` e `python3.8` come valori dei parametri per questo controllo. AWS Lambda non supporta più questi runtime. | 
| 7 marzo 2025 | [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) | Security Hub CSPM ha rimosso questo controllo dallo standard AWS Foundational Security Best Practices e dai controlli automatici per i requisiti NIST SP 800-53 Rev. 5. Da quando il networking Amazon EC2-Classic è stato ritirato, le istanze di Amazon Relational Database Service (Amazon RDS) non possono più essere distribuite all'esterno di un VPC. [Il controllo continua a far parte dello standard di gestione dei servizi.AWS Control Tower](service-managed-standard-aws-control-tower.md) | 
| 10 gennaio 2025 | [Glue.2] I lavori AWS Glue dovrebbero avere la registrazione abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. | 
| 20 dicembre 2024 | Da EC2.61 a EC2.169  | Security Hub CSPM ha ripristinato la versione dei controlli da EC2.61 a EC2.169. | 
| 12 dicembre 2024 | [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23)  | RDS.23 verifica se un cluster o un'istanza di Amazon Relational Database Service (Amazon RDS) utilizza una porta diversa dalla porta predefinita del motore di database. Abbiamo aggiornato il controllo in modo che la AWS Config regola sottostante restituisca un risultato di NOT\$1APPLICABLE per le istanze RDS che fanno parte di un cluster. | 
| 2 dicembre 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs22.x come parametro. | 
| 26 novembre 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.29 | 
| 20 novembre 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aumentato la severità di questo controllo da a`MEDIUM`. `CRITICAL` Security Hub CSPM ha inoltre aggiunto [nuovi codici di stato e motivi di stato per i risultati](controls-findings-create-update.md#control-findings-asff-compliance) falliti di Config.1. Queste modifiche riflettono l'importanza di Config.1 per il funzionamento dei controlli CSPM di Security Hub. Se la registrazione delle risorse è disattivata, è possibile ricevere risultati di controllo imprecisi. AWS Config  Per ricevere un `PASSED` risultato per Config.1, attiva la registrazione delle risorse per le risorse che corrispondono ai controlli CSPM di Security Hub abilitati e disabilita i controlli che non sono richiesti nella tua organizzazione. Per istruzioni sulla configurazione AWS Config per Security Hub CSPM, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) Per un elenco dei controlli CSPM di Security Hub e delle relative risorse, vedere. [AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md) | 
| 12 novembre 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.13 come parametro. | 
| 11 ottobre 2024 | ElastiCache controlli  | Titoli di controllo modificati per ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache I titoli non menzionano più Redis OSS perché i controlli si applicano anche a Valkey. ElastiCache  | 
| 27 settembre 2024 | [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)  | Il titolo di controllo modificato da Application Load Balancer deve essere configurato per eliminare le intestazioni http su Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide. | 
| 19 agosto 2024 | Modifiche al titolo e ai controlli di DMS.12 ElastiCache  | Titoli di controllo modificati per DMS.12 e da DMS.1 a .7. ElastiCache ElastiCache Abbiamo modificato questi titoli per riflettere un cambio di nome nel servizio Amazon ElastiCache (Redis OSS). | 
| 15 agosto 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiunto un parametro di controllo personalizzato denominato. includeConfigServiceLinkedRoleCheck Impostando questo parametro sufalse, è possibile scegliere di non verificare se AWS Config utilizza il ruolo collegato al servizio. | 
| 31 luglio 2024 | [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1)  | Il titolo di controllo modificato dai profili AWS IoT Core di sicurezza deve essere taggato ai profili AWS IoT Device Defender di sicurezza devono essere etichettati. | 
| 29 luglio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs16.x come parametro. | 
| 29 luglio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.28 | 
| 25 giugno 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | Questo controllo verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiornato il titolo del controllo per riflettere ciò che il controllo valuta. | 
| 14 giugno 2024 | [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34)  | Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo in modo che non generasse risultati per i cluster DB Aurora Serverless v1. | 
| 11 giugno 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.27 | 
| 10 giugno 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | Questo controllo verifica se AWS Config è abilitato e la registrazione AWS Config delle risorse è attivata. In precedenza, il controllo produceva un PASSED risultato solo se si configurava la registrazione per tutte le risorse. Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato quando la registrazione è attivata per le risorse necessarie per i controlli abilitati. Il controllo è stato inoltre aggiornato per verificare se viene utilizzato il ruolo AWS Config collegato al servizio, che fornisce le autorizzazioni per registrare le risorse necessarie. | 
| 8 maggio 2024 | [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)  | Questo controllo verifica se un bucket con versione generica di Amazon S3 è abilitata l'eliminazione dell'autenticazione a più fattori (MFA). In precedenza, il controllo produceva una FAILED ricerca di bucket con una configurazione del ciclo di vita. Tuttavia, l'eliminazione MFA con controllo delle versioni non può essere abilitata su un bucket con una configurazione del ciclo di vita. Security Hub CSPM ha aggiornato il controllo per non produrre risultati per i bucket con una configurazione del ciclo di vita. La descrizione del controllo è stata aggiornata per riflettere il comportamento corrente.  | 
| 2 maggio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.26 | 
| 30 aprile 2024 | [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)  | Il titolo di controllo modificato da CloudTrail dovrebbe essere abilitato a Dovrebbe essere abilitato almeno un CloudTrail percorso. Questo controllo attualmente produce un PASSED risultato se un Account AWS ha almeno un CloudTrail percorso abilitato. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. | 
| 29 aprile 2024 | [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1)  | La modifica del titolo di controllo dai gruppi Auto Scaling associati a un Classic Load Balancer dovrebbe utilizzare i controlli dello stato del bilanciamento del carico, mentre i gruppi Auto Scaling associati a un sistema di bilanciamento del carico dovrebbero utilizzare i controlli di integrità ELB. Questo controllo attualmente valuta Application, Gateway, Network e Classic Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento corrente. | 
| 19 aprile 2024 | [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)  | Il controllo verifica se AWS CloudTrail è abilitato e configurato con almeno un percorso multiregionale che include eventi di gestione di lettura e scrittura. In precedenza, il controllo generava erroneamente PASSED i risultati quando un account aveva CloudTrail abilitato e configurato almeno un percorso multiregionale, anche se nessun trail includeva eventi di gestione di lettura e scrittura. Il controllo ora genera un PASSED risultato solo quando CloudTrail è abilitato e configurato con almeno un percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. | 
| 10 aprile 2024 | [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I gruppi di lavoro Athena inviano i log ai bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. | 
| 10 aprile 2024 | [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I limiti degli hop di risposta ai metadati per le istanze Amazon Elastic Compute Cloud (Amazon EC2) dipendono dal carico di lavoro. | 
| 10 aprile 2024 | [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS)  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'integrazione degli AWS CloudFormation stack con gli argomenti di Amazon SNS non è più una best practice di sicurezza. Sebbene l'integrazione di CloudFormation stack importanti con argomenti SNS possa essere utile, non è necessaria per tutti gli stack. | 
| 10 aprile 2024 | [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'attivazione della modalità privilegiata in un CodeBuild progetto non comporta un rischio aggiuntivo per l'ambiente del cliente. | 
| 10 aprile 2024 | [IAM.20] Evita l'uso dell'utente root  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Lo scopo di questo controllo è coperto da un altro controllo,. [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) | 
| 10 aprile 2024 | [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. La registrazione dello stato di consegna per gli argomenti SNS non è più una best practice di sicurezza. Sebbene la registrazione dello stato di consegna per importanti argomenti SNS possa essere utile, non è necessaria per tutti gli argomenti. | 
| 10 aprile 2024 | [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10)  | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Lo scopo di questo controllo è coperto da altri due controlli: e. [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14) Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. | 
| 10 aprile 2024 | [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)  | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Sebbene ci siano alcuni casi in cui le notifiche di eventi per i bucket S3 sono utili, questa non è una best practice di sicurezza universale. Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. | 
| 10 aprile 2024 | [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Per impostazione predefinita, SNS crittografa gli argomenti inattivi con la crittografia del disco. Per ulteriori informazioni, consulta [Crittografia dei dati](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). L'utilizzo AWS KMS per crittografare gli argomenti non è più consigliato come best practice di sicurezza. Questo controllo fa ancora parte di NIST SP 800-53 Rev. 5. | 
| 8 aprile 2024 | [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6)  | Il titolo di controllo modificato dalla protezione da eliminazione di Application Load Balancer deve essere abilitato a Application, Gateway e Network Load Balancer dovrebbe avere la protezione da eliminazione abilitata. Questo controllo attualmente valuta Application, Gateway e Network Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. | 
| 22 marzo 2024 | [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8)  | Il titolo di controllo modificato da Connessioni ai OpenSearch domini deve essere crittografato utilizzando TLS 1.2 a Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS. In precedenza, il controllo controllava solo se le connessioni ai OpenSearch domini utilizzavano TLS 1.2. Il controllo ora consente di determinare se i OpenSearch domini sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente.  | 
| 22 marzo 2024 | [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)  | Il titolo di controllo modificato da Connessioni ai domini Elasticsearch deve essere crittografato utilizzando TLS 1.2 a Connessioni ai domini Elasticsearch deve essere crittografato utilizzando la politica di sicurezza TLS più recente. In precedenza, il controllo controllava solo se le connessioni ai domini Elasticsearch utilizzavano TLS 1.2. Il controllo ora determina se i domini Elasticsearch sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente.  | 
| 12 marzo 2024 | [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)  | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato ai bucket generici S3 devono avere le impostazioni di accesso pubblico a blocchi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2)  | Il titolo modificato dei bucket S3 dovrebbe proibire l'accesso pubblico in lettura ai bucket S3 per uso generico e dovrebbe bloccare l'accesso pubblico in lettura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3)  | Il titolo modificato dei bucket S3 dovrebbe proibire l'accesso pubblico in scrittura ai bucket S3 per uso generico e dovrebbe bloccare l'accesso pubblico in scrittura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)  | Il titolo modificato dai bucket S3 dovrebbe richiedere le richieste di utilizzo di Secure Socket Layer, mentre i bucket S3 per uso generico dovrebbero richiedere richieste di utilizzo di SSL. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)  | Il titolo modificato dalle autorizzazioni S3 concesse ad altre politiche Account AWS in bucket dovrebbe essere limitato alle policy dei bucket per uso generale di S3. Le policy relative ai bucket dovrebbero limitare l'accesso ad altri. Account AWS Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)  | Il titolo modificato dei bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)  | Il titolo modificato dei bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)  | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato a livello di bucket, mentre i bucket S3 per uso generico devono bloccare l'accesso pubblico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)  | Il titolo modificato dalla registrazione degli accessi al server del bucket S3 deve essere abilitato in La registrazione dell'accesso al server deve essere abilitata per i bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10)  | Il titolo modificato dai bucket S3 con il controllo delle versioni abilitato dovrebbe avere politiche del ciclo di vita configurate in bucket S3 per uso generico con il controllo delle versioni abilitato dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)  | Il titolo modificato dei bucket S3 dovrebbe avere le notifiche degli eventi abilitate, mentre i bucket S3 per uso generico dovrebbero avere le notifiche degli eventi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12)  | Il titolo modificato dagli elenchi di controllo degli accessi S3 (ACLs) non deve essere utilizzato per gestire l'accesso degli utenti ai bucket né per gestire l'accesso degli utenti ai ACLs bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13)  | Il titolo modificato dei bucket S3 dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico e i bucket S3 dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)  | Il titolo modificato dai bucket S3 dovrebbe utilizzare il controllo delle versioni, mentre i bucket S3 per uso generico dovrebbero avere il controllo delle versioni abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15)  | Il titolo modificato dai bucket S3 deve essere configurato per utilizzare Object Lock, mentre i bucket S3 per uso generico devono avere Object Lock abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 12 marzo 2024 | [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)  | Il titolo modificato dai bucket S3 deve essere crittografato con i bucket inattivi con i bucket S3 AWS KMS keys per uso generico con. AWS KMS keys Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. | 
| 7 marzo 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs20.x e ruby3.3 come parametri. | 
| 22 febbraio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta dotnet8 come parametro. | 
| 5 febbraio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.25  | 
| 10 gennaio 2024 | [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)  | Il titolo modificato da CodeBuild GitHub o utilizzato dal repository di origine Bitbucket in L'archivio di origine di CodeBuild Bitbucket URLs  non deve OAuth contenere credenziali sensibili. URLs Security Hub CSPM ha rimosso la menzione OAuth perché anche altri metodi di connessione possono essere sicuri. Security Hub CSPM ha rimosso la menzione GitHub perché non è più possibile avere un token di accesso personale o un nome utente e una password nell'archivio dei GitHub sorgenti. URLs | 
| 8 gennaio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più go1.x e java8 come parametri perché si tratta di runtime ritirati. | 
| 29 dicembre 2023 | [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8)  | RDS.8 verifica se un'istanza Amazon RDS DB che utilizza uno dei motori di database supportati ha la protezione da eliminazione abilitata. Security Hub CSPM ora supporta custom-oracle-ee e oracle-se2-cdb come motori di database. oracle-ee-cdb | 
| 22 dicembre 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java21 e python3.12 come parametri. Security Hub CSPM non supporta più ruby2.7 come parametro. | 
| 15 dicembre 2023 | [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 verifica se una CloudFront distribuzione Amazon ha un oggetto root predefinito configurato. Security Hub CSPM ha ridotto la severità di questo controllo da CRITICAL a HIGH perché l'aggiunta dell'oggetto root predefinito è una raccomandazione che dipende dall'applicazione dell'utente e dai requisiti specifici. | 
| 5 dicembre 2023  | [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  | Il titolo di controllo modificato dai gruppi di sicurezza non dovrebbe consentire l'ingresso da 0.0.0.0/0 alla porta 22 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.  | 
| 5 dicembre 2023  | [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)  | Titolo di controllo modificato da Assicura che i gruppi di sicurezza non consentano l'ingresso dalla porta 0.0.0.0/0 alla porta 3389 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.  | 
| 5 dicembre 2023  | [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)  | Il titolo di controllo modificato dalla registrazione del database deve essere abilitato alle istanze DB RDS. Le istanze DB devono pubblicare i registri nei registri. CloudWatch  Security Hub CSPM ha rilevato che questo controllo verifica solo se i log sono pubblicati su Amazon CloudWatch Logs e non verifica se i log RDS sono abilitati. Il controllo rileva se le istanze DB RDS sono configurate per pubblicare log su Logs. PASSED CloudWatch Il titolo del controllo è stato aggiornato per riflettere il comportamento corrente.  | 
| 5 dicembre 2023 | [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)  | Questo controllo verifica se i cluster Amazon EKS hanno abilitato la registrazione di audit. La AWS Config regola utilizzata da Security Hub CSPM per valutare questo controllo è stata modificata da aeks-cluster-logging-enabled. eks-cluster-log-enabled | 
| 17 novembre 2023  | [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)  | EC2.19 verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza è accessibile alle porte specificate considerate ad alto rischio. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'.  | 
| 16 novembre 2023  | [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)  | Il titolo di controllo modificato dagli CloudWatch allarmi dovrebbe avere un'azione configurata per lo stato ALARM, mentre gli allarmi dovrebbero avere delle azioni specificate configurate. CloudWatch   | 
| 16 novembre 2023  | [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16)  | Il titolo di controllo modificato dei gruppi di CloudWatch log deve essere conservato per almeno 1 anno, mentre i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato.  | 
| 16 novembre 2023  | [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5)  | Il titolo di controllo modificato dalle funzioni VPC Lambda deve funzionare in più di una zona di disponibilità, mentre le funzioni VPC Lambda devono funzionare in più zone di disponibilità.  | 
| 16 novembre 2023  | [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2)  | La modifica del titolo di controllo da AWS AppSync dovrebbe avere la registrazione a livello di richiesta e di campo attivata a dovrebbe avere la registrazione a livello di campo abilitata.AWS AppSync   | 
| 16 novembre 2023  | [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)  | Il titolo di controllo modificato dai nodi master MapReduce del cluster Amazon Elastic non dovrebbe avere indirizzi IP pubblici, mentre i nodi primari del cluster Amazon EMR non dovrebbero avere indirizzi IP pubblici.  | 
| 16 novembre 2023  | [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2)  | Il titolo di controllo modificato dai OpenSearch domini dovrebbe essere in un VPC, in quanto i domini non dovrebbero essere accessibili OpenSearch al pubblico.  | 
| 16 novembre 2023  | [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)  | Il titolo di controllo modificato dai domini Elasticsearch dovrebbe essere in un VPC, mentre i domini Elasticsearch non dovrebbero essere accessibili al pubblico.  | 
| 31 ottobre 2023  | [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4)  | ES.4 verifica se i domini Elasticsearch sono configurati per inviare log di errore ad Amazon Logs. CloudWatch Il controllo in precedenza produceva una PASSED ricerca per un dominio Elasticsearch con tutti i log configurati per l'invio a Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato solo per un dominio Elasticsearch configurato per inviare i log degli errori ai registri. CloudWatch Il controllo è stato inoltre aggiornato per escludere dalla valutazione le versioni di Elasticsearch che non supportano i log degli errori.  | 
| 16 ottobre 2023  | [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  | EC2.13 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 22. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'.  | 
| 16 ottobre 2023  | [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)  | EC2.14 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 3389. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'.  | 
| 16 ottobre 2023  | [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)  | EC2.18 verifica se i gruppi di sicurezza in uso consentono il traffico in entrata senza restrizioni. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'.  | 
| 16 ottobre 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.11 come parametro.  | 
| 4 ottobre 2023  | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)  | Security Hub CSPM ha aggiunto il parametro ReplicationType con un valore pari CROSS-REGION a per garantire che nei bucket S3 sia abilitata la replica tra regioni anziché la replica nella stessa regione.  | 
| 27 settembre 2023  | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.24  | 
| 20 settembre 2023  | [CloudFront.2] le CloudFront distribuzioni devono avere l'identità di accesso all'origine abilitata  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Altrimenti, consulta [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13). Il controllo degli accessi Origin è l'attuale best practice di sicurezza. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. | 
| 20 settembre 2023  | [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22)  | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices (FSBP) e National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Fa ancora parte di Service-Managed Standard:. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2, come EC2.2, EC2.13, EC2.14, EC2.18 ed EC2.19, per monitorare i tuoi gruppi di sicurezza.  | 
| 20 settembre 2023  | [EC2.29] Le istanze EC2 devono essere avviate in un VPC  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon EC2 ha migrato le istanze EC2 Classic su un VPC. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. | 
| 20 settembre 2023  | [S3.4] I bucket S3 devono avere abilitata la crittografia lato server  | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. Le impostazioni di crittografia sono invariate per i bucket esistenti crittografati con la crittografia lato server -S3 o -KMS. SS3 SS3 Questo controllo verrà rimosso dalla documentazione entro 90 giorni.  | 
| 14 settembre 2023  | [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  | Titolo di controllo modificato da Il gruppo di sicurezza predefinito VPC non dovrebbe consentire il traffico in entrata e in uscita ai gruppi di sicurezza predefiniti VPC non dovrebbe consentire il traffico in entrata o in uscita.  | 
| 14 settembre 2023  | [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  | Il titolo di controllo modificato da Virtual MFA deve essere abilitato per l'utente root a MFA deve essere abilitato per l'utente root.  | 
|  14 settembre 2023  | [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19)  | Titolo di controllo modificato da Un abbonamento per le notifiche di eventi RDS deve essere configurato per gli eventi critici del cluster a Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici del cluster.  | 
| 14 settembre 2023  | [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)  | Titolo di controllo modificato da Un abbonamento alle notifiche di eventi RDS deve essere configurato per gli eventi critici delle istanze di database Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici delle istanze di database.  | 
| 14 settembre 2023  | [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2)  | Il titolo di controllo modificato da una regola regionale WAF dovrebbe avere almeno una condizione, mentre le regole regionali AWS WAF classiche dovrebbero avere almeno una condizione.  | 
| 14 settembre 2023  | [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3)  | Il titolo di controllo modificato da Un gruppo di regole regionali WAF dovrebbe avere almeno una regola, mentre i gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola.  | 
| 14 settembre 2023  | [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4)  | Il titolo di controllo modificato da Un ACL Web regionale WAF dovrebbe avere almeno una regola o un gruppo di regole a un sito Web regionale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole.  | 
| 14 settembre 2023  | [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)  | Il titolo di controllo modificato da una regola globale WAF dovrebbe avere almeno una condizione, mentre le regole globali AWS WAF classiche dovrebbero avere almeno una condizione.  | 
| 14 settembre 2023  | [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)  | Il titolo di controllo modificato da Un gruppo di regole globale WAF dovrebbe avere almeno una regola, mentre i gruppi di regole globali AWS WAF Classic dovrebbero avere almeno una regola.  | 
| 14 settembre 2023  | [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)  | Titolo di controllo modificato da Un ACL web globale WAF dovrebbe avere almeno una regola o un gruppo di regole a AWS WAF Classic global Web ACLs dovrebbe avere almeno una regola o un gruppo di regole.  | 
| 14 settembre 2023  | [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10)  | Il titolo di controllo modificato da Un ACL WAFv2 web dovrebbe avere almeno una regola o un gruppo di regole, mentre il AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole.  | 
| 14 settembre 2023  | [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11)  | Il titolo di controllo modificato dalla registrazione ACL Web AWS WAF v2 deve essere attivato e la registrazione ACL AWS WAF Web deve essere abilitata.  | 
|  20 luglio 2023  | [S3.4] I bucket S3 devono avere abilitata la crittografia lato server  | S3.4 verifica se un bucket Amazon S3 ha la crittografia lato server abilitata o se la policy del bucket S3 nega esplicitamente le richieste senza crittografia lato server. PutObject Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-S3, SSE-KMS o DSSE-KMS.  | 
| 17 luglio 2023  | [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)  | S3.17 verifica se un bucket Amazon S3 è crittografato con un. AWS KMS key Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-KMS o DSSE-KMS.  | 
| 9 giugno 2023  | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)  | EKS.2 verifica se un cluster Amazon EKS è in esecuzione su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.23  | 
| 9 giugno 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta ruby3.2 come parametro.  | 
| 5 giugno 2023  | [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5)  | APIGateway.5.verifica se tutti i metodi nelle fasi dell'API REST di Amazon API Gateway sono crittografati a riposo. Security Hub CSPM ha aggiornato il controllo per valutare la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.  | 
| 18 maggio 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java17 come parametro.  | 
| 18 maggio 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs12.x come parametro.  | 
| 23 aprile 2023  | [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)  | ECS.10 verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. I clienti possono implementare Amazon ECS tramite ECS direttamente o utilizzando. CodeDeploy Security Hub CSPM ha aggiornato questo controllo per produrre risultati Passed da utilizzare CodeDeploy per distribuire i servizi ECS Fargate.  | 
| 20 aprile 2023  | [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)  | S3.6 verifica se una policy sui bucket di Amazon Simple Storage Service (Amazon S3) impedisce ai principali di eseguire azioni Account AWS negate sulle risorse nel bucket S3. Security Hub CSPM ha aggiornato il controllo per tenere conto dei condizionali in una policy bucket.  | 
| 18 aprile 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.10 come parametro. | 
| 18 aprile 2023  | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)  | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più dotnetcore3.1 come parametro. | 
| 17 aprile 2023  | [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11)  | RDS.11 verifica se nelle istanze Amazon RDS sono abilitati i backup automatici, con un periodo di conservazione dei backup maggiore o uguale a sette giorni. Security Hub CSPM ha aggiornato questo controllo per escludere le repliche di lettura dalla valutazione, poiché non tutti i motori supportano i backup automatici sulle repliche di lettura. Inoltre, RDS non offre la possibilità di specificare un periodo di conservazione dei backup durante la creazione di repliche di lettura. Le repliche di lettura vengono create con un periodo di conservazione dei backup di 0 default.  | 

# Controlli CSPM Security Hub per Account AWS
<a name="account-controls"></a>

Questi controlli CSPM di Security Hub valutano. Account AWS

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
<a name="account-1"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un account Amazon Web Services (AWS) dispone di informazioni di contatto di sicurezza. Il controllo fallisce se non vengono fornite informazioni di contatto di sicurezza per l'account.

I contatti di sicurezza alternativi consentono di contattare un'altra persona in merito AWS a problemi relativi al tuo account nel caso in cui tu non sia disponibile. Le notifiche possono provenire da Supporto o da altri Servizio AWS team su argomenti relativi alla sicurezza associati al tuo utilizzo. Account AWS 

### Correzione
<a name="account-1-remediation"></a>

*Per aggiungere un contatto alternativo come contatto di sicurezza al tuo Account AWS, consulta [Aggiornare i contatti alternativi per te Account AWS nella Guida di riferimento per la gestione](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) dell'AWS account.*

## [Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
<a name="account-2"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un Account AWS fa parte di un'organizzazione gestita tramite AWS Organizations. Il controllo ha esito negativo se l'account non fa parte di un'organizzazione.

Organizations ti aiuta a gestire centralmente il tuo ambiente man mano che ridimensioni i carichi di lavoro. AWSÈ possibile utilizzarne più Account AWS di uno per isolare i carichi di lavoro con requisiti di sicurezza specifici o per conformarsi a framework come HIPAA o PCI. Creando un'organizzazione, puoi amministrare più account come una singola unità e gestirne centralmente l'accesso, le risorse e le regioni. Servizi AWS

### Correzione
<a name="account-2-remediation"></a>

Per creare una nuova organizzazione e Account AWS aggiungerla automaticamente, consulta [Creazione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) nella *Guida per l'AWS Organizations utente*. Per aggiungere account a un'organizzazione esistente, vedi [Invitare un utente Account AWS a entrare a far parte della tua organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) nella *Guida per l'AWS Organizations utente*.

# Controlli CSPM Security Hub per AWS Amplify
<a name="amplify-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS Amplify servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Le app Amplify devono essere taggate
<a name="amplify-1"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Amplify::App`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un' AWS Amplify app ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se l'app non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'app non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="amplify-1-remediation"></a>

Per informazioni sull'aggiunta di tag a un' AWS Amplify app, consulta [Supporto per il tagging delle risorse](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) nella *Guida per l'utente AWS Amplify di hosting*.

## [Amplify.2] I rami Amplify devono essere etichettati
<a name="amplify-2"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Amplify::Branch`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Amplify ramo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il ramo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il ramo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="amplify-2-remediation"></a>

Per informazioni sull'aggiunta di tag a una AWS Amplify filiale, consulta il [supporto per l'etichettatura delle risorse](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) nella *Guida per l'utente AWS Amplify di hosting*.

# Controlli CSPM del Security Hub per Amazon API Gateway
<a name="apigateway-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon API Gateway. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati
<a name="apigateway-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

`AWS::ApiGateway::Stage`Tipo di risorsa**:**, `AWS::ApiGatewayV2::Stage`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Livello di logging  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Questo controllo verifica se la registrazione è abilitata in tutte le fasi di un'API o REST di Amazon WebSocket API Gateway. Il controllo fallisce se `loggingLevel` non lo è `ERROR` o `INFO` per tutte le fasi dell'API. A meno che non si forniscano valori di parametro personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub CSPM produce un risultato valido se il livello di registrazione è o. `ERROR` `INFO`

API Gateway WebSocket REST o le fasi API devono avere i log pertinenti abilitati. La registrazione REST e l'esecuzione delle WebSocket API di API Gateway forniscono registrazioni dettagliate delle richieste effettuate alle fasi REST e API di WebSocket API Gateway. Le fasi includono le risposte di backend di integrazione delle API, le risposte di autorizzazione Lambda e gli endpoint per `requestId` l' AWS integrazione.

### Correzione
<a name="apigateway-1-remediation"></a>

Per abilitare la registrazione per le operazioni WebSocket REST e API, consulta [Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) *Developer Guide*.

## [APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend
<a name="apigateway-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), (2), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGateway::Stage`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le fasi API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi di backend utilizzano questi certificati per autenticare che le richieste in entrata provengano da API Gateway.

Le fasi API REST di API Gateway devono essere configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.

### Correzione
<a name="apigateway-2-remediation"></a>

Per istruzioni dettagliate su come generare e configurare i certificati SSL API REST API Gateway, consulta [Generare e configurare un certificato SSL per l'autenticazione di backend nella Guida per](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) sviluppatori di *API Gateway*.

## [APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
<a name="apigateway-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ApiGateway::Stage`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il tracciamento AWS X-Ray attivo è abilitato per le fasi dell'API REST di Amazon API Gateway.

Il tracciamento attivo a raggi X consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Le variazioni delle prestazioni potrebbero comportare una mancanza di disponibilità dell'API. Il tracciamento attivo di X-Ray fornisce metriche in tempo reale delle richieste degli utenti che fluiscono attraverso le operazioni dell'API REST dell'API Gateway e i servizi connessi.

### Correzione
<a name="apigateway-3-remediation"></a>

*Per istruzioni dettagliate su come abilitare il tracciamento attivo a raggi X per le operazioni dell'API REST di API Gateway, consulta il [supporto per il tracciamento attivo di Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) nella Developer Guide.AWS X-Ray * 

## [APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
<a name="apigateway-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21)

**Categoria:** Proteggi > Servizi di protezione

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGateway::Stage`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi AWS WAF Web (ACL). Questo controllo ha esito negativo se un ACL AWS WAF Web non è collegato a uno stadio REST API Gateway.

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la fase API Gateway sia associata a un ACL AWS WAF Web per proteggerla da attacchi dannosi.

### Correzione
<a name="apigateway-4-remediation"></a>

Per informazioni su come utilizzare la console API Gateway per associare un ACL web AWS WAF regionale a una fase API Gateway API esistente, consulta [Using AWS WAF to protect your APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) nella *API Gateway Developer Guide*.

## [APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi
<a name="apigateway-5"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Categoria:** Protezione > Protezione dei dati > Crittografia dei dati inattivi

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGateway::Stage`

**AWS Config regola:** `api-gw-cache-encrypted` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se tutti i metodi nelle fasi API REST di API Gateway con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase API REST API Gateway è configurato per la cache e la cache non è crittografata. Security Hub CSPM valuta la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.

La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.

Le cache delle API REST di API Gateway devono essere crittografate quando sono inattive per un ulteriore livello di sicurezza.

### Correzione
<a name="apigateway-5-remediation"></a>

Per configurare la memorizzazione nella cache delle API per una fase, consulta [Enable Amazon API Gateway caching](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) nella *API Gateway Developer Guide*. In **Impostazioni cache**, scegli **Crittografa** i dati della cache.

## [APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
<a name="apigateway-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Protezione > Gestione sicura degli accessi

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGatewayV2::Route`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Tipo di autorizzazione dei percorsi API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Nessun valore predefinito  | 

Questo controllo verifica se le route Amazon API Gateway hanno un tipo di autorizzazione. Il controllo fallisce se la route API Gateway non ha alcun tipo di autorizzazione. Facoltativamente, puoi fornire un valore di parametro personalizzato se desideri che il controllo passi solo se la route utilizza il tipo di autorizzazione specificato nel `authorizationType` parametro.

API Gateway supporta più meccanismi per controllare e gestire l'accesso all'API. Specificando un tipo di autorizzazione, puoi limitare l'accesso all'API solo agli utenti o ai processi autorizzati.

### Correzione
<a name="apigateway-8-remediation"></a>

Per impostare un tipo di autorizzazione per HTTP APIs, consulta [Controllare e gestire l'accesso a un'API HTTP in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) *Developer Guide*. Per impostare un tipo di autorizzazione per WebSocket APIs, consulta [Controllare e gestire l'accesso a un' WebSocket API in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) *Developer Guide*.

## [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
<a name="apigateway-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGatewayV2::Stage`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se nelle fasi di Amazon API Gateway V2 è configurata la registrazione degli accessi. Questo controllo fallisce se le impostazioni del log di accesso non sono definite.

I log di accesso all'API Gateway forniscono informazioni dettagliate su chi ha effettuato l'accesso all'API e su come il chiamante ha effettuato l'accesso all'API. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Abilita questi log di accesso per analizzare i modelli di traffico e risolvere i problemi.

Per ulteriori best practice, consulta [Monitoring REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) nella *API Gateway Developer Guide*.

### Correzione
<a name="apigateway-9-remediation"></a>

Per configurare la registrazione degli accessi, consulta [Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) nella Guida per *sviluppatori di API Gateway*. 

## [APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
<a name="apigateway-10"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ApiGatewayV2::Integration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'integrazione API Gateway V2 ha HTTPS abilitato per le connessioni private. Il controllo fallisce se per una connessione privata non è configurato TLS.

I collegamenti VPC collegano l'API Gateway alle risorse private. Sebbene i collegamenti VPC creino connettività privata, non crittografano intrinsecamente i dati. La configurazione di TLS garantisce l'uso di HTTPS per la end-to-end crittografia dal client tramite API Gateway al backend. Senza TLS, il traffico API sensibile scorre in modo non crittografato tra connessioni private. La crittografia HTTPS protegge il traffico attraverso le connessioni private dall'intercettazione dei dati, dagli man-in-the-middle attacchi e dall'esposizione delle credenziali. 

### Correzione
<a name="apigateway-10-remediation"></a>

Per abilitare la crittografia in transito per le connessioni private in un'integrazione API Gateway v2, consulta [Aggiornare un'integrazione privata](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) nella *Amazon API Gateway Developer Guide*. Configura la [configurazione TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) in modo che l'integrazione privata utilizzi il protocollo HTTPS.

# Controlli CSPM Security Hub per AWS AppConfig
<a name="appconfig-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS AppConfig servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
<a name="appconfig-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppConfig::Application`

**Regola AWS Config : ** `appconfig-application-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un' AWS AppConfig applicazione dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'applicazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'applicazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="appconfig-1-remediation"></a>

Per aggiungere tag a un' AWS AppConfig applicazione, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.

## [AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
<a name="appconfig-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppConfig::ConfigurationProfile`

**Regola AWS Config : ** `appconfig-configuration-profile-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un profilo AWS AppConfig di configurazione ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il profilo di configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo di configurazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="appconfig-2-remediation"></a>

Per aggiungere tag a un profilo di AWS AppConfig configurazione, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.

## [AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
<a name="appconfig-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppConfig::Environment`

**Regola AWS Config : ** `appconfig-environment-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AWS AppConfig ambiente ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'ambiente non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ambiente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="appconfig-3-remediation"></a>

Per aggiungere tag a un AWS AppConfig ambiente, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.

## [AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
<a name="appconfig-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppConfig::ExtensionAssociation`

**Regola AWS Config : ** `appconfig-extension-association-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'associazione di AWS AppConfig estensioni contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'associazione di estensione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'associazione di estensione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="appconfig-4-remediation"></a>

Per aggiungere tag a un'associazione di AWS AppConfig estensioni, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.

# Controlli CSPM Security Hub per Amazon AppFlow
<a name="appflow-controls"></a>

Questi controlli CSPM di Security Hub valutano il AppFlow servizio e le risorse Amazon.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
<a name="appflow-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppFlow::Flow`

**Regola AWS Config : ** `appflow-flow-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AppFlow flusso Amazon ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="appflow-1-remediation"></a>

Per aggiungere tag a un AppFlow flusso Amazon, consulta la sezione [Creazione di flussi in Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) nella *Amazon AppFlow User Guide*.

# Controlli CSPM Security Hub per AWS App Runner
<a name="apprunner-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS App Runner servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] I servizi App Runner devono essere etichettati
<a name="apprunner-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppRunner::Service`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AWS App Runner servizio dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il servizio App Runner non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio App Runner non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="apprunner-1-remediation"></a>

Per informazioni sull'aggiunta di tag a un AWS App Runner servizio, consulta l'*AWS App Runner API [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*Reference.

## [AppRunner.2] I connettori VPC App Runner devono essere etichettati
<a name="apprunner-2"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppRunner::VpcConnector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un connettore AWS App Runner VPC ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il connettore VPC non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il connettore VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="apprunner-2-remediation"></a>

Per informazioni sull'aggiunta di tag a un connettore AWS App Runner VPC, consulta l'*AWS App Runner API [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*Reference.

# Controlli CSPM Security Hub per AWS AppSync
<a name="appsync-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS AppSync servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
<a name="appsync-1"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo il 9 marzo 2026. Per ulteriori informazioni, vedere. [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md) AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future.

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una cache AWS AppSync API è crittografata quando è inattiva. Il controllo fallisce se la cache dell'API non è crittografata quando è inattiva.

I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="appsync-1-remediation"></a>

Non puoi modificare le impostazioni di crittografia dopo aver abilitato la memorizzazione nella cache per l'API. AWS AppSync È invece necessario eliminare la cache e ricrearla con la crittografia abilitata. Per ulteriori informazioni, consulta [Crittografia della cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) nella *Guida per gli AWS AppSync sviluppatori*.

## [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
<a name="appsync-2"></a>

**Requisiti correlati**: PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** 


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Livello di registrazione del campo  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Questo controllo verifica se un' AWS AppSync API ha attivato la registrazione a livello di campo. **Il controllo fallisce se il livello di registro del resolver del campo è impostato su Nessuno.** A meno che non si forniscano valori di parametro personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub CSPM produce un risultato valido se il campo resolver log level è o. `ERROR` `ALL`

Puoi usare il logging e i parametri per identificare e ottimizzare le query GraphQL, oltre che per risolvere i relativi problemi. L'attivazione della registrazione per AWS AppSync GraphQL consente di ottenere informazioni dettagliate sulle richieste e le risposte delle API, identificare e rispondere ai problemi e rispettare i requisiti normativi.

### Correzione
<a name="appsync-2-remediation"></a>

*Per attivare la registrazione per AWS AppSync, consulta [Setup and configuration](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) nella Developer Guide.AWS AppSync *

## [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
<a name="appsync-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`

**AWS Config regola:** `tagged-appsync-graphqlapi` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'API AWS AppSync GraphQL ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'API GraphQL non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'API GraphQL non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="appsync-4-remediation"></a>

Per aggiungere tag a un'API AWS AppSync GraphQL, consulta l'*AWS AppSync API [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)*Reference.

## [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
<a name="appsync-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** alta

**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (non personalizzabile)

Questo controllo verifica se l'applicazione utilizza una chiave API per interagire con un'API AWS AppSync GraphQL. Il controllo fallisce se un'API AWS AppSync GraphQL è autenticata con una chiave API.

Una chiave API è un valore codificato nell'applicazione che viene generato dal AWS AppSync servizio quando si crea un endpoint GraphQL non autenticato. Se questa chiave API è compromessa, l'endpoint è vulnerabile agli accessi involontari. A meno che tu non supporti un'applicazione o un sito Web accessibili al pubblico, non consigliamo di utilizzare una chiave API per l'autenticazione.

### Correzione
<a name="appsync-5-remediation"></a>

Per impostare un'opzione di autorizzazione per l'API AWS AppSync GraphQL, consulta [Autorizzazione e autenticazione nella Guida](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) per gli *AWS AppSync sviluppatori*.

## [AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
<a name="appsync-6"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo il 9 marzo 2026. Per ulteriori informazioni, vedere. [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md) AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future.

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::AppSync::ApiCache`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una cache AWS AppSync API è crittografata in transito. Il controllo fallisce se la cache dell'API non è crittografata in transito.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

### Correzione
<a name="appsync-6-remediation"></a>

Non puoi modificare le impostazioni di crittografia dopo aver abilitato la memorizzazione nella cache per l'API. AWS AppSync È invece necessario eliminare la cache e ricrearla con la crittografia abilitata. Per ulteriori informazioni, consulta [Crittografia della cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) nella *Guida per gli AWS AppSync sviluppatori*.

# Controlli CSPM del Security Hub per Amazon Athena
<a name="athena-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Athena. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi
<a name="athena-1"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Categoria:** Protezione > Protezione dei dati > Crittografia dei dati inattivi

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Gravità:** media

**Tipo di risorsa:** `AWS::Athena::WorkGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo di lavoro Athena è crittografato a riposo. Il controllo fallisce se un gruppo di lavoro Athena non è crittografato a riposo.

In Athena, puoi creare gruppi di lavoro per eseguire query per team, applicazioni o carichi di lavoro diversi. Ogni gruppo di lavoro dispone di un'impostazione per abilitare la crittografia su tutte le query. Hai la possibilità di utilizzare la crittografia lato server con le chiavi gestite di Amazon Simple Storage Service (Amazon S3), la crittografia lato server AWS Key Management Service con AWS KMS() chiavi o la crittografia lato client con chiavi KMS gestite dal cliente. I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="athena-1-remediation"></a>

*Per abilitare la crittografia a riposo per i gruppi di lavoro Athena, consulta [Modificare un gruppo di lavoro](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) nella Amazon Athena User Guide.* **Nella sezione **Configurazione dei risultati della query**, seleziona Crittografa i risultati delle query.**

## [Athena.2] I cataloghi di dati Athena devono essere etichettati
<a name="athena-2"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Athena::DataCatalog`

**AWS Config regola:** `tagged-athena-datacatalog` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un catalogo dati Amazon Athena contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il catalogo dati non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il catalogo dati non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="athena-2-remediation"></a>

*Per aggiungere tag a un catalogo di dati Athena, consulta [Tagging Athena resources nella Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/tags.html) User Guide.*

## [Athena.3] I gruppi di lavoro Athena devono essere etichettati
<a name="athena-3"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Athena::WorkGroup`

**AWS Config regola:** `tagged-athena-workgroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un gruppo di lavoro Amazon Athena dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di lavoro non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="athena-3-remediation"></a>

*Per aggiungere tag a un gruppo di lavoro Athena, consulta [Aggiungere ed eliminare tag su un singolo gruppo di lavoro nella Amazon Athena User](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) Guide.*

## [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
<a name="athena-4"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Athena::WorkGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo di lavoro Amazon Athena ha la registrazione abilitata. Il controllo fallisce se il gruppo di lavoro non ha la registrazione abilitata.

I registri di controllo tengono traccia e monitorano le attività del sistema. Forniscono una registrazione degli eventi che può aiutarvi a rilevare violazioni della sicurezza, indagare sugli incidenti e rispettare le normative. I registri di controllo migliorano anche la responsabilità e la trasparenza complessive dell'organizzazione.

### Correzione
<a name="athena-4-remediation"></a>

*Per informazioni sull'abilitazione della registrazione per un gruppo di lavoro Athena, [consulta CloudWatch Enable query metrics in Athena nella Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) User Guide.*

# Controlli CSPM Security Hub per AWS Backup
<a name="backup-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS Backup servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
<a name="backup-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::Backup::RecoveryPoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un punto di AWS Backup ripristino è crittografato quando è inattivo. Il controllo fallisce se il punto di ripristino non è crittografato a riposo.

Un punto di AWS Backup ripristino si riferisce a una copia o istantanea specifica dei dati creata come parte di un processo di backup. Rappresenta un momento particolare in cui è stato eseguito il backup dei dati e funge da punto di ripristino nel caso in cui i dati originali vengano persi, danneggiati o inaccessibili. La crittografia dei punti di ripristino del backup aggiunge un ulteriore livello di protezione contro l'accesso non autorizzato. La crittografia è una procedura ottimale per proteggere la riservatezza, l'integrità e la sicurezza dei dati di backup.

### Correzione
<a name="backup-1-remediation"></a>

Per crittografare un punto di AWS Backup ripristino, consulta [Encryption for backup AWS Backup nella AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *Developer* Guide.

## [Backup.2] i punti di AWS Backup ripristino devono essere etichettati
<a name="backup-2"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Backup::RecoveryPoint`

**AWS Config regola:** `tagged-backup-recoverypoint` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un punto di AWS Backup ripristino dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="backup-2-remediation"></a>

**Per aggiungere tag a un punto di ripristino AWS Backup**

1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Nel riquadro di navigazione scegliere **Backup plans (Piani di backup)**.

1. Seleziona un piano di backup dall'elenco.

1. Nella sezione **Tag del piano di Backup**, scegli **Gestisci tag**.

1. Immettere una chiave e un valore per il tag. Scegli **Aggiungi nuovo tag** per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## I AWS Backup vault [Backup.3] devono essere etichettati
<a name="backup-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Backup::BackupVault`

**AWS Config regola:** `tagged-backup-backupvault` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AWS Backup vault ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="backup-3-remediation"></a>

**Per aggiungere tag a un archivio AWS Backup**

1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.

1. Seleziona un archivio di backup dall'elenco.

1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.

1. Immettere una chiave e un valore per il tag. Scegli **Aggiungi nuovo tag** per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## [Backup.4] i piani di AWS Backup report devono essere etichettati
<a name="backup-4"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Backup::ReportPlan`

**AWS Config regola:** `tagged-backup-reportplan` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un piano di AWS Backup report contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il piano di report non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se al piano di report non è associata alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="backup-4-remediation"></a>

**Per aggiungere tag a un piano di report AWS Backup**

1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.

1. Seleziona un archivio di backup dall'elenco.

1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## [Backup.5] i piani di AWS Backup backup devono essere etichettati
<a name="backup-5"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Backup::BackupPlan`

**AWS Config regola:** `tagged-backup-backupplan` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un piano AWS Backup di backup dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il piano di backup non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il piano di backup non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="backup-5-remediation"></a>

**Per aggiungere tag a un piano di backup AWS Backup**

1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.

1. Seleziona un archivio di backup dall'elenco.

1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

# Controlli CSPM Security Hub per AWS Batch
<a name="batch-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS Batch servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Le code di processi in batch devono essere etichettate
<a name="batch-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Batch::JobQueue`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una coda di AWS Batch lavori ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la coda dei processi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda dei processi non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="batch-1-remediation"></a>

Per aggiungere tag a una coda di lavori Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.

## [Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
<a name="batch-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Batch::SchedulingPolicy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una politica AWS Batch di pianificazione ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la politica di pianificazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la politica di pianificazione non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="batch-2-remediation"></a>

Per aggiungere tag a una politica di pianificazione Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.

## [Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
<a name="batch-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Batch::ComputeEnvironment`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un ambiente di AWS Batch calcolo dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'ambiente di calcolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ambiente di calcolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="batch-3-remediation"></a>

Per aggiungere tag a un ambiente di calcolo Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.

## [Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate
<a name="batch-4"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Batch::ComputeEnvironment`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. Le chiavi dei tag distinguono tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se la proprietà delle risorse di calcolo in un ambiente di AWS Batch calcolo gestito ha le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo ha esito negativo se la proprietà compute resources non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal parametro. `requiredKeyTags` Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave tag e fallisce se una proprietà di risorse di calcolo non dispone di chiavi tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Questo controllo non valuta gli ambienti di elaborazione non gestiti o gli ambienti gestiti che utilizzano risorse. AWS Fargate 

Un tag è un'etichetta che crei e assegni a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="batch-4-remediation"></a>

Per informazioni sull'aggiunta di tag alle risorse di calcolo in un ambiente di AWS Batch elaborazione gestito, consulta Etichettare [le risorse nella Guida per](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) l'*AWS Batch utente*.

# Controlli CSPM Security Hub per AWS Certificate Manager
<a name="acm-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Certificate Manager (ACM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato
<a name="acm-1"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ACM::Certificate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**Tipo di pianificazione:** modifica attivata e periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Numero di giorni entro i quali il certificato ACM deve essere rinnovato  |  Numero intero  |  `14` Da a `365`  |  `30`  | 

Questo controllo verifica se un certificato AWS Certificate Manager (ACM) viene rinnovato entro il periodo di tempo specificato. Controlla sia i certificati importati che i certificati forniti da ACM. Il controllo fallisce se il certificato non viene rinnovato entro il periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rinnovo, Security Hub CSPM utilizza un valore predefinito di 30 giorni.

ACM può rinnovare automaticamente i certificati che utilizzano la convalida DNS. Per i certificati che utilizzano la convalida e-mail, è necessario rispondere a un'e-mail di convalida del dominio. ACM non rinnova automaticamente i certificati importati. È necessario rinnovare manualmente i certificati importati.

### Correzione
<a name="acm-1-remediation"></a>

ACM offre un rinnovo gestito per i tuoi SSL/TLS certificati emessi da Amazon. Ciò significa che ACM rinnova i certificati automaticamente (se utilizzi la convalida DNS) oppure ti invia notifiche via e-mail quando si avvicina la scadenza del certificato. Questi servizi sono forniti sia per i certificati ACM pubblici che privati.

**Per i domini convalidati tramite e-mail**  
Quando mancano 45 giorni alla scadenza di un certificato, ACM invia al proprietario del dominio un'e-mail per ogni nome di dominio. Per convalidare i domini e completare il rinnovo, devi rispondere alle notifiche e-mail.  
*Per ulteriori informazioni, consulta [Rinnovo per domini convalidati tramite e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) nella Guida per l'utente.AWS Certificate Manager *

**Per i domini convalidati dal DNS**  
ACM rinnova automaticamente i certificati che utilizzano la convalida DNS. 60 giorni prima della scadenza, ACM verifica che il certificato possa essere rinnovato.  
Se non è in grado di convalidare un nome di dominio, ACM invia una notifica indicante che è necessaria la convalida manuale. Invia queste notifiche 45 giorni, 30 giorni, 7 giorni e 1 giorno prima della scadenza.  
*Per ulteriori informazioni, consulta [Rinnovo per i domini convalidati dal DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) nella Guida per l'AWS Certificate Manager utente.*

## [ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit
<a name="acm-2"></a>

**Requisiti** correlati: PCI DSS v4.0.1/4.2.1

**Categoria: Identificazione > Inventario > Servizi** di inventario

**Gravità:** alta

**Tipo di risorsa:** `AWS::ACM::Certificate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i certificati RSA gestiti da AWS Certificate Manager utilizzano una lunghezza di chiave di almeno 2.048 bit. Il controllo ha esito negativo se la lunghezza della chiave è inferiore a 2.048 bit.

La forza della crittografia è direttamente correlata alla dimensione della chiave. Consigliamo una lunghezza delle chiavi di almeno 2.048 bit per proteggere AWS le risorse in quanto la potenza di calcolo diventa meno costosa e i server diventano più avanzati.

### Correzione
<a name="acm-2-remediation"></a>

La lunghezza minima delle chiavi per i certificati RSA emessi da ACM è già di 2.048 bit. *Per istruzioni sull'emissione di nuovi certificati RSA con ACM, consulta Emissione e gestione dei certificati nella Guida per [l'](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)utente.AWS Certificate Manager *

Sebbene ACM consenta di importare certificati con chiavi di lunghezza inferiore, è necessario utilizzare chiavi di almeno 2.048 bit per passare questo controllo. Non è possibile modificare la lunghezza della chiave dopo aver importato un certificato. È invece necessario eliminare i certificati con una lunghezza di chiave inferiore a 2.048 bit. *Per ulteriori informazioni sull'importazione di certificati in ACM, consulta [Prerequisiti per l'importazione dei certificati nella Guida per l'](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)utente.AWS Certificate Manager *

## [ACM.3] I certificati ACM devono essere etichettati
<a name="acm-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ACM::Certificate`

**AWS Config regola:** `tagged-acm-certificate` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un certificato AWS Certificate Manager (ACM) contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="acm-3-remediation"></a>

*Per aggiungere tag a un certificato ACM, consulta [Taggare i AWS Certificate Manager certificati](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) nella Guida per l'utente.AWS Certificate Manager *

# Controlli CSPM Security Hub per CloudFormation
<a name="cloudformation-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS CloudFormation servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati:** NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)

**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFormation::Stack`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una notifica di Amazon Simple Notification Service è integrata con uno CloudFormation stack. Il controllo fallisce per uno CloudFormation stack se non è associata alcuna notifica SNS.

La configurazione di una notifica SNS con lo CloudFormation stack consente di notificare immediatamente alle parti interessate eventuali eventi o modifiche che si verificano nello stack.

### Correzione
<a name="cloudformation-1-remediation"></a>

*Per integrare uno CloudFormation stack e un argomento SNS, consulta [Aggiornamento](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) degli stack direttamente nella Guida per l'utente.AWS CloudFormation *

## [CloudFormation.2] CloudFormation gli stack devono essere etichettati
<a name="cloudformation-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFormation::Stack`

**AWS Config regola:** `tagged-cloudformation-stack` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se uno AWS CloudFormation stack ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo stack non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo stack non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="cloudformation-2-remediation"></a>

*Per aggiungere tag a uno CloudFormation stack, consulta la sezione API [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)Reference.AWS CloudFormation *

## [CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata
<a name="cloudformation-3"></a>

**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFormation::Stack`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se uno AWS CloudFormation stack ha la protezione dalla terminazione abilitata. Il controllo fallisce se la protezione dalla terminazione non è abilitata su uno stack. CloudFormation 

CloudFormation aiuta a gestire le risorse correlate come una singola unità denominata Stack. Puoi impedire che uno stack venga eliminato accidentalmente abilitando la protezione da cessazione sullo stack. Se un utente tenta di eliminare uno stack con protezione da cessazione abilitata, l’eliminazione ha esito negativo e lo stack, incluso lo stato, rimane invariato. Puoi impostare la protezione da cessazione su stack con qualsiasi stato eccetto `DELETE_IN_PROGRESS` o `DELETE_COMPLETE`. 

**Nota**  
Se abilitata o disabilitata su uno stack, la protezione da cessazione approva la stessa scelta anche per qualsiasi stack nidificato appartenente a tale stack. Non è possibile abilitare o disabilitare la protezione da terminazione direttamente su uno stack nidificato. Non è possibile eliminare direttamente uno stack annidato appartenente a uno stack con la protezione dalla terminazione abilitata. Se accanto al nome dello stack compare la dicitura NESTED (NIDIFICATO), si tratta di uno stack nidificato. È possibile modificare la protezione da cessazione soltanto sullo stack radice al quale appartiene lo stack nidificato. 

### Correzione
<a name="cloudformation-3-remediation"></a>

*Per abilitare la protezione dalla terminazione su uno CloudFormation stack, consulta [Proteggere gli CloudFormation stack dall'](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)eliminazione nella Guida per l'utente.AWS CloudFormation *

## [CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
<a name="cloudformation-4"></a>

**Categoria:** Rileva > Gestione sicura degli accessi

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFormation::Stack`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se a uno AWS CloudFormation stack è associato un ruolo di servizio. Il controllo ha esito negativo per uno CloudFormation stack se non è associato alcun ruolo di servizio.

Ruoli di esecuzione dell' StackSets uso gestiti dal servizio tramite l'integrazione degli accessi affidabili di AWS Organizations. Il controllo genera inoltre un risultato NON RIUSCITO per uno AWS CloudFormation stack creato da service-managed StackSets perché non vi è alcun ruolo di servizio associato. A causa della modalità di StackSets autenticazione gestita dal servizio, il `roleARN` campo non può essere compilato per questi stack.

L'utilizzo dei ruoli di servizio con CloudFormation gli stack consente di implementare l'accesso con privilegi minimi separando le autorizzazioni tra l'utente che creates/updates si occupa dello stack e le autorizzazioni necessarie alle risorse. CloudFormation create/update Ciò riduce il rischio di aumento dei privilegi e aiuta a mantenere i confini di sicurezza tra i diversi ruoli operativi.

**Nota**  
Non è possibile rimuovere un ruolo di servizio collegato a uno stack dopo la creazione dello stack. Altri utenti che dispongono delle autorizzazioni per eseguire operazioni su questo stack potranno usare questo ruolo, indipendentemente dal fatto che dispongano o meno dell’autorizzazione `iam:PassRole`. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi.

### Correzione
<a name="cloudformation-4-remediation"></a>

*Per associare un ruolo di servizio a uno CloudFormation stack, consulta il [ruolo di CloudFormation servizio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) nella Guida per l'utente.AWS CloudFormation *

# Controlli CSPM Security Hub per Amazon CloudFront
<a name="cloudfront-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il CloudFront servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
<a name="cloudfront-1"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Categoria: Protezione > Gestione sicura degli accessi** > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon con origini S3 è configurata per restituire un oggetto specifico che è l'oggetto root predefinito. Il controllo fallisce se la CloudFront distribuzione utilizza origini S3 e non ha un oggetto root predefinito configurato. Questo controllo non si applica alle CloudFront distribuzioni che utilizzano origini personalizzate.

A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web.

### Correzione
<a name="cloudfront-1-remediation"></a>

Per configurare un oggetto radice predefinito per una CloudFront distribuzione, consulta [Come specificare un oggetto radice predefinito](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
<a name="cloudfront-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo fallisce se `ViewerProtocolPolicy` è impostato su `allow-all` for `defaultCacheBehavior` o for. `cacheBehaviors`

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.

### Correzione
<a name="cloudfront-3-remediation"></a>

Per crittografare una CloudFront distribuzione in transito, consulta la sezione [Richiedere HTTPS per la comunicazione tra gli spettatori e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
<a name="cloudfront-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon è configurata con un gruppo di origine che ha due o più origini.

CloudFront il failover di origine può aumentare la disponibilità. Il failover di origine reindirizza automaticamente il traffico verso un'origine secondaria se l'origine principale non è disponibile o se restituisce codici di stato di risposta HTTP specifici.

### Correzione
<a name="cloudfront-4-remediation"></a>

Per configurare il failover di origine per una CloudFront distribuzione, consulta [Creating an origin group](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
<a name="cloudfront-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo ha esito negativo se la registrazione dei log di accesso non è abilitata per una distribuzione. Questo controllo valuta solo se la registrazione standard (legacy) è abilitata per una distribuzione.

CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta. CloudFront Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Per ulteriori informazioni sull'analisi dei log di accesso, consulta Interroga i [ CloudFront log di Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) nella *Amazon* Athena User Guide.

### Correzione
<a name="cloudfront-5-remediation"></a>

Per configurare la registrazione standard (legacy) per una CloudFront distribuzione, consulta [Configure standard logging (legacy)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) nella *Amazon CloudFront Developer* Guide.

## [CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
<a name="cloudfront-6"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Categoria**: Proteggi > Servizi di protezione

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni sono associate a AWS WAF Classic o AWS WAF Web. ACLs Il controllo ha esito negativo se la distribuzione non è associata a un ACL web.

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL AWS WAF web per proteggerla da attacchi dannosi.

### Correzione
<a name="cloudfront-6-remediation"></a>

Per associare un ACL AWS WAF Web a una CloudFront distribuzione, consulta [Using AWS WAF to control access to your content](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS
<a name="cloudfront-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni utilizzano il certificato predefinitoSSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS.

 SSL/TLS Consenti agli utenti di accedere ai contenuti in modo personalizzato utilizzando nomi di dominio alternativi. Puoi archiviare certificati personalizzati in AWS Certificate Manager (consigliato) o in IAM. 

### Correzione
<a name="cloudfront-7-remediation"></a>

*Per aggiungere un nome di dominio alternativo per una CloudFront distribuzione utilizzando un certificato SSL/TLS personalizzato, consulta [Aggiungere un nome di dominio alternativo nella](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) Amazon Developer Guide. CloudFront *

## [CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
<a name="cloudfront-8"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano un SSL/TLS certificato personalizzato e sono configurate per utilizzare SNI per soddisfare le richieste HTTPS. Questo controllo ha esito negativo se è associato un SSL/TLS certificato personalizzato ma il metodo di SSL/TLS supporto è un indirizzo IP dedicato.

Server Name Indication (SNI) è un'estensione del protocollo TLS supportato da browser e client rilasciati dopo il 2010. Se configuri CloudFront per servire le richieste HTTPS utilizzando SNI, CloudFront associa il nome di dominio alternativo a un indirizzo IP per ogni edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, il DNS instrada la richiesta all'indirizzo IP per la edge location corretta. L'indirizzo IP del nome di dominio viene determinato durante la negoziazione dell' SSL/TLS handshake; l'indirizzo IP non è dedicato alla distribuzione. 

### Correzione
<a name="cloudfront-8-remediation"></a>

Per configurare una CloudFront distribuzione in modo che utilizzi SNI per soddisfare le richieste HTTPS, consulta Using [SNI to Serve HTTPS Requests (funziona per la maggior parte dei client)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) nella Developer Guide. CloudFront Per informazioni sui certificati SSL personalizzati, consulta [Requisiti per l'utilizzo SSL/TLS ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html) dei certificati con. CloudFront

## [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate
<a name="cloudfront-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni Amazon stanno crittografando il traffico verso origini personalizzate. Questo controllo non riesce per una CloudFront distribuzione la cui politica del protocollo di origine consente «solo http». Questo controllo fallisce anche se la politica del protocollo di origine della distribuzione è «match-viewer» mentre la politica del protocollo del visualizzatore è «allow-all».

HTTPS (TLS) può essere utilizzato per impedire l'intercettazione o la manipolazione del traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). 

### Correzione
<a name="cloudfront-9-remediation"></a>

Per aggiornare la politica del protocollo di origine per richiedere la crittografia per una CloudFront connessione, consulta [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate
<a name="cloudfront-10"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano protocolli SSL obsoleti per la comunicazione HTTPS tra le CloudFront edge location e le tue origini personalizzate. Questo controllo fallisce se una CloudFront distribuzione include un where include. `CustomOriginConfig` `OriginSslProtocols` `SSLv3`

Nel 2015, l'Internet Engineering Task Force (IETF) ha annunciato ufficialmente che SSL 3.0 dovrebbe essere obsoleto a causa della scarsa sicurezza del protocollo. Si consiglia di utilizzare TLSv1 .2 o versioni successive per la comunicazione HTTPS con le origini personalizzate. 

### Correzione
<a name="cloudfront-10-remediation"></a>

Per aggiornare i protocolli SSL di origine per una CloudFront distribuzione, consulta [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.

## [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
<a name="cloudfront-12"></a>

**Requisiti correlati:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), PCI DSS v4.0.1/2.2.6

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** alta

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se CloudFront le distribuzioni Amazon puntano a origini Amazon S3 inesistenti. Il controllo fallisce per una CloudFront distribuzione se l'origine è configurata in modo da puntare a un bucket inesistente. Questo controllo si applica solo alle CloudFront distribuzioni in cui un bucket S3 senza hosting di siti Web statici è l'origine di S3.

Quando una CloudFront distribuzione nel tuo account è configurata in modo che punti a un bucket inesistente, una terza parte malintenzionata può creare il bucket di riferimento e pubblicare i propri contenuti tramite la tua distribuzione. Ti consigliamo di controllare tutte le origini indipendentemente dal comportamento di routing per assicurarti che le distribuzioni puntino alle origini appropriate. 

### Correzione
<a name="cloudfront-12-remediation"></a>

Per modificare una CloudFront distribuzione in modo che punti a una nuova origine, consulta la sezione [Aggiornamento di una distribuzione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) nell'*Amazon CloudFront Developer Guide*.

## [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
<a name="cloudfront-13"></a>

**Categoria:** Proteggi > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon con un'origine Amazon S3 ha configurato il controllo dell'accesso all'origine (OAC). Il controllo fallisce se OAC non è configurato per la distribuzione. CloudFront

Quando usi un bucket S3 come origine per la tua CloudFront distribuzione, puoi abilitare OAC. Ciò consente l'accesso al contenuto del bucket solo tramite la CloudFront distribuzione specificata e proibisce l'accesso diretto dal bucket o da un'altra distribuzione. Sebbene CloudFront supporti Origin Access Identity (OAI), OAC offre funzionalità aggiuntive e le distribuzioni che utilizzano OAI possono migrare verso OAC. Sebbene OAI fornisca un modo sicuro per accedere alle origini di S3, presenta delle limitazioni, come la mancanza di supporto per le configurazioni granulari delle policy e per le HTTP/HTTPS richieste che utilizzano il metodo POST e che richiedono la versione 4 della firma (SigV4). Regioni AWS AWS OAI inoltre non supporta la crittografia con. AWS Key Management Service OAC si basa su una AWS best practice di utilizzo dei principali di servizio IAM per l'autenticazione con le origini S3. 

### Correzione
<a name="cloudfront-13-remediation"></a>

*Per configurare OAC per una CloudFront distribuzione con origini S3, consulta [Restricting access to an Amazon S3 origin nella Amazon Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). CloudFront *

## [CloudFront.14] le distribuzioni devono essere etichettate CloudFront
<a name="cloudfront-14"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**AWS Config regola:** `tagged-cloudfront-distribution` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una CloudFront distribuzione Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la distribuzione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la distribuzione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="cloudfront-14-remediation"></a>

Per aggiungere tag a una CloudFront distribuzione, consulta [Tagging Amazon CloudFront distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) nella *Amazon CloudFront Developer* Guide.

## [CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata
<a name="cloudfront-15"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (non personalizzabile)

Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare una politica di sicurezza TLS consigliata. Il controllo fallisce se la CloudFront distribuzione non è configurata per utilizzare una politica di sicurezza TLS consigliata.

Se configuri una CloudFront distribuzione Amazon per richiedere agli utenti di utilizzare HTTPS per accedere ai contenuti, devi scegliere una politica di sicurezza e specificare la versione minima del SSL/TLS protocollo da utilizzare. Ciò determina la versione del protocollo CloudFront utilizzata per comunicare con gli spettatori e i codici CloudFront utilizzati per crittografare le comunicazioni. Si consiglia di utilizzare la politica di sicurezza più recente fornita. CloudFront Ciò garantisce l' CloudFront utilizzo delle suite di crittografia più recenti per crittografare i dati in transito tra un visualizzatore e una distribuzione. CloudFront

**Nota**  
Questo controllo genera risultati solo per CloudFront le distribuzioni configurate per utilizzare certificati SSL personalizzati e non sono configurate per supportare client legacy.

### Correzione
<a name="cloudfront-15-remediation"></a>

Per informazioni sulla configurazione della politica di sicurezza per una CloudFront distribuzione, consulta [Aggiornare una distribuzione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) nella *Amazon CloudFront Developer Guide*. Quando configuri la politica di sicurezza per una distribuzione, scegli la politica di sicurezza più recente.

## [CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda
<a name="cloudfront-16"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon con un URL di AWS Lambda funzione come origine ha il controllo dell'accesso all'origine (OAC) abilitato. Il controllo fallisce se la CloudFront distribuzione ha un URL della funzione Lambda come origine e l'OAC non è abilitato.

L'URL di una AWS Lambda funzione è un endpoint HTTPS dedicato per una funzione Lambda. Se l'URL di una funzione Lambda è l'origine di una CloudFront distribuzione, l'URL della funzione deve essere accessibile pubblicamente. Pertanto, come best practice di sicurezza, è necessario creare un OAC e aggiungerlo all'URL della funzione Lambda in una distribuzione. OAC utilizza i principali del servizio IAM per autenticare le richieste tra CloudFront e l'URL della funzione. Supporta inoltre l'uso di politiche basate sulle risorse per consentire l'invocazione di una funzione solo se una richiesta è per conto di una distribuzione specificata nella policy. CloudFront 

### Correzione
<a name="cloudfront-16-remediation"></a>

*Per informazioni sulla configurazione di OAC per una CloudFront distribuzione Amazon che utilizza l'URL di una funzione Lambda come origine, consulta [Restrict access to an AWS Lambda function URL origin nella](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Amazon Developer Guide. CloudFront *

## [CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs
<a name="cloudfront-17"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudFront::Distribution`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare gruppi di chiavi affidabili per l'autenticazione di URL firmati o cookie firmati. Il controllo fallisce se la CloudFront distribuzione utilizza firmatari attendibili o se non è configurata alcuna autenticazione.

Per utilizzare i cookie firmati URLs o firmati, è necessario un firmatario. Un firmatario è un gruppo di chiavi attendibile in cui CloudFront crei o un AWS account che contiene una coppia di CloudFront chiavi. Ti consigliamo di utilizzare gruppi di chiavi affidabili perché con i gruppi di CloudFront chiavi non è necessario utilizzare l'utente root dell' AWS account per gestire le chiavi pubbliche per i cookie CloudFront firmati URLs e firmati.

**Nota**  
Questo controllo non valuta le distribuzioni multi-tenant. CloudFront `(connectionMode=tenant-only)`

### Correzione
<a name="cloudfront-17-remediation"></a>

Per informazioni sull'utilizzo di gruppi di chiavi affidabili con signature URLs e cookie, consulta [Using trusted key groups](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) nella *Amazon CloudFront Developer Guide*.

# Controlli CSPM Security Hub per AWS CloudTrail
<a name="cloudtrail-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS CloudTrail servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura
<a name="cloudtrail-1"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, (4), (26), (9), (9), ( AWS 22) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Categoria:** Identificazione > Registrazione

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `readWriteType`: `ALL` (non personalizzabile)

  `includeManagementEvents`: `true` (non personalizzabile)

Questo controllo verifica se esiste almeno un AWS CloudTrail percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. Il controllo fallisce se CloudTrail è disabilitato o se non esiste almeno una CloudTrail traccia che acquisisca gli eventi di gestione di lettura e scrittura.

AWS CloudTrail registra le chiamate AWS API per il tuo account e ti invia i file di registro. Le informazioni registrate includono le seguenti informazioni:
+ Identità del chiamante API
+ Ora della chiamata API
+ Indirizzo IP di origine del chiamante API
+ Parametri della richiesta
+ Elementi di risposta restituiti da Servizio AWS

CloudTrail fornisce una cronologia delle chiamate AWS API per un account, incluse le chiamate API effettuate dagli strumenti della Console di gestione AWS riga di comando. AWS SDKs La cronologia include anche le chiamate API di livello superiore Servizi AWS come. AWS CloudFormation

La cronologia delle chiamate AWS API prodotta da CloudTrail consente l'analisi della sicurezza, il monitoraggio delle modifiche alle risorse e il controllo della conformità. I trail basati su più regioni offrono anche i seguenti vantaggi.
+ Un trail basato su più regioni aiuta a rilevare le attività impreviste che si verificano in regioni altrimenti inutilizzate.
+ Un trail basato su più regioni garantisce che la registrazione dei servizi globali sia abilitata per un trail per impostazione predefinita. La registrazione degli eventi di servizio globale registra gli eventi generati dai servizi AWS globali.
+ Per un percorso multiregionale, gli eventi di gestione per tutte le operazioni di lettura e scrittura assicurano che le operazioni di gestione dei CloudTrail record su tutte le risorse in un unico file. Account AWS

Per impostazione predefinita, i CloudTrail percorsi creati utilizzando i percorsi Console di gestione AWS sono multiregionali.

### Correzione
<a name="cloudtrail-1-remediation"></a>

Per creare un nuovo percorso multiregionale in CloudTrail, vedi [Creazione di un percorso nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) per l'*AWS CloudTrail utente*. Utilizzare i seguenti valori:


| Campo | Valore | 
| --- | --- | 
|  Impostazioni aggiuntive, Convalida del file di registro  |  Abilitato  | 
|  Scegli gli eventi di registro, gli eventi di gestione, l'attività delle API  |  **Leggi** e **scrivi**. Deseleziona le caselle di controllo per le esclusioni.  | 

Per aggiornare un percorso esistente, vedi [Aggiornamento di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) nella *Guida per l'AWS CloudTrail utente*. In **Management events**, per **l'attività dell'API**, scegli **Leggi** e **scrivi**.

## [CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
<a name="cloudtrail-2"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.5, benchmark CIS Foundations v1.2.0/2.7, benchmark CIS AWS Foundations v1.4.0/3.7, benchmark CIS AWS Foundations v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8 (1), 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3.3.8, PCI DCI SS versione 3.2.1/3.4, NIST.800-53.r5 SC-7 PCI DSS versione 4.0.1/10.3.2 AWS 

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudTrail::Trail`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se CloudTrail è configurato per utilizzare la crittografia lato server (SSE). AWS KMS key Il controllo ha esito negativo se non `KmsKeyId` è definito.

Per un ulteriore livello di sicurezza per i file di CloudTrail registro sensibili, è consigliabile utilizzare la [crittografia lato server con AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) per i file di CloudTrail registro per la crittografia a riposo. Tieni presente che, per impostazione predefinita, i file di log forniti dai CloudTrail tuoi bucket sono crittografati mediante crittografia [lato server di Amazon con chiavi di crittografia gestite da Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)). 

### Correzione
<a name="cloudtrail-2-remediation"></a>

*Per abilitare la crittografia SSE-KMS per i file di CloudTrail registro, consulta [Aggiornare un percorso per utilizzare una](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) chiave KMS nella Guida per l'utente.AWS CloudTrail *

## [CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail
<a name="cloudtrail-3"></a>

**Requisiti correlati:** NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/10.1, PCI DSS versione 3.2.1/10.2.1, PCI DSS versione 3.2.1/10.2.2, PCI DSS versione 3.2.1/10.2.3, PCI DSS versione 3.2.1/10.2.4, PCI DSS versione 3.2.1/10.2.3 DSS versione 3.2.1/10.2.5, PCI DSS versione 3.2.1/10.2.6, PCI DSS versione 3.2.1/10.2.7, PCI DSS versione 3.2.1/10.3.1, PCI DSS versione 3.2.1/10.3.2, PCI DSS versione 3.2.1/10.3.3, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.5 3.6, PCI DSS versione 4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un AWS CloudTrail percorso è abilitato nel tuo Account AWS. Il controllo fallisce se il tuo account non ha almeno un CloudTrail trail abilitato.

Tuttavia, alcuni AWS servizi non consentono la registrazione di tutti APIs gli eventi. È necessario implementare eventuali percorsi di controllo aggiuntivi diversi da quelli indicati nella sezione [Servizi CloudTrail e integrazioni CloudTrail supportati e](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html) consultare la documentazione relativa a ciascun servizio.

### Correzione
<a name="cloudtrail-3-remediation"></a>

Per iniziare CloudTrail e creare un percorso, consulta il [AWS CloudTrail tutorial Guida introduttiva](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) nella *Guida per l'AWS CloudTrail utente*.

## [CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
<a name="cloudtrail-4"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.2, benchmark CIS Foundations v1.2.0/2.2, benchmark CIS AWS Foundations v1.4.0/3.2, benchmark CIS AWS Foundations v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 (1), NIST.800-53.r5 SI-7 (1) 3), NIST.800-53.r5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI DSS versione 3.2.1/10.5.2, PCI DSS versione 3.2.1/10.5.5, PCI DSS versione 4.0.1/10.3.2 AWS 

**Categoria:** Protezione dei dati > Integrità dei dati

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudTrail::Trail`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la convalida dell'integrità dei file di registro è abilitata su una CloudTrail traccia.

CloudTrail la convalida dei file di registro crea un file digest con firma digitale che contiene un hash di ogni log che scrive CloudTrail su Amazon S3. Puoi utilizzare questi file digest per determinare se un file di registro è stato modificato, eliminato o è rimasto invariato dopo la consegna del log. CloudTrail 

Security Hub CSPM consiglia di abilitare la convalida dei file su tutti i percorsi. La convalida dei file di registro fornisce ulteriori controlli di integrità dei registri. CloudTrail 

### Correzione
<a name="cloudtrail-4-remediation"></a>

*Per abilitare la convalida dei file di CloudTrail registro, vedere [Attivazione della convalida dell'integrità dei file di registro CloudTrail nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) l'utente.AWS CloudTrail *

## [CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
<a name="cloudtrail-5"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/3.4, PCI DSS versione 3.2.1/10.5.3, benchmark CIS Foundations versione 1.2.0/2.4, benchmark CIS AWS Foundations versione 1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), (9), (9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST.800-5-53,5 SI-4 (20), NIT. 800-53.r5 SI-4 (5), NIT 800-53.5 SI-7 (8) AWS 

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudTrail::Trail`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se i CloudTrail trail sono configurati per inviare log a CloudWatch Logs. Il controllo fallisce se la `CloudWatchLogsLogGroupArn` proprietà del percorso è vuota.

CloudTrail registra le chiamate AWS API effettuate in un determinato account. Le informazioni registrate includono quanto segue:
+ L'identità del chiamante dell'API
+ L'ora della chiamata API
+ L'indirizzo IP di origine del chiamante API
+ I parametri della richiesta
+ Gli elementi di risposta restituiti da Servizio AWS

CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di registro. Puoi acquisire CloudTrail i log in un bucket S3 specificato per analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare l'invio dei log CloudTrail a Logs. CloudWatch 

Per un percorso abilitato in tutte le regioni di un account, CloudTrail invia i file di registro da tutte le regioni a un gruppo di log dei CloudWatch registri.

Security Hub CSPM consiglia di inviare i log a CloudTrail Logs. CloudWatch Tieni presente che questa raccomandazione ha lo scopo di garantire che l'attività dell'account venga rilevata, monitorata e attivata in modo appropriato. Puoi usare CloudWatch Logs per configurarlo con il tuo. Servizi AWS Questa raccomandazione non preclude l'uso di una soluzione diversa.

L'invio di CloudTrail log a CloudWatch Logs facilita la registrazione storica e in tempo reale delle attività in base a utente, API, risorsa e indirizzo IP. È possibile utilizzare questo approccio per stabilire allarmi e notifiche per attività anomale o riservate dell'account.

### Correzione
<a name="cloudtrail-5-remediation"></a>

*Per l'integrazione CloudTrail con CloudWatch i registri, consulta [Invio di eventi ai CloudWatch registri nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) l'utente.AWS CloudTrail *

## [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail
<a name="cloudtrail-6"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4 AWS 

**Categoria:** Identificazione > Registrazione

**Severità:** critica

**Tipo di risorsa:** `AWS::S3::Bucket`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione:** periodica e con attivazione di modifiche

**Parametri:** nessuno

CloudTrail registra un record di ogni chiamata API effettuata nel tuo account. Questi file di log sono archiviati in un bucket S3. Il CIS consiglia di applicare la policy del bucket S3, o lista di controllo degli accessi (ACL), al bucket S3 che CloudTrail registra per impedire l'accesso pubblico ai log. CloudTrail Consentire l'accesso pubblico ai contenuti dei CloudTrail log potrebbe aiutare un avversario a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.

Per eseguire questo controllo, Security Hub CSPM utilizza innanzitutto una logica personalizzata per cercare il bucket S3 in cui sono archiviati i CloudTrail log. Utilizza quindi le regole AWS Config gestite per verificare che il bucket sia accessibile pubblicamente.

Se aggregate i log in un unico bucket S3 centralizzato, Security Hub CSPM esegue il controllo solo rispetto all'account e alla regione in cui si trova il bucket S3 centralizzato. **Per altri account e regioni, lo stato del controllo è Nessun dato.**

Se il bucket è accessibile pubblicamente, il controllo genera un risultato non riuscito.

### Correzione
<a name="cloudtrail-6-remediation"></a>

Per bloccare l'accesso pubblico al tuo bucket CloudTrail S3, consulta [Configurazione delle impostazioni di blocco dell'accesso pubblico per i tuoi bucket S3 nella Guida per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) l'utente di *Amazon Simple Storage Service*. Seleziona tutte e quattro le impostazioni di accesso pubblico a blocchi di Amazon S3.

## [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail
<a name="cloudtrail-7"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/2.6, CIS AWS Foundations Benchmark v1.4.0/3.6, CIS Foundations Benchmark v3.0.0/3.4, PCI DSS AWS v4.0.1/10.2.1 AWS 

**Categoria:** Identificazione > Registrazione

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3::Bucket`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

La registrazione degli accessi al bucket S3 genera un registro che contiene i record di accesso per ogni richiesta effettuata al bucket S3. Un record dei log di accesso contiene dettagli sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta.

Il CIS consiglia di abilitare la registrazione degli accessi ai bucket sul bucket S3. CloudTrail 

L'abilitazione della registrazione di bucket S3 su bucket S3 di destinazione consente di acquisire tutti gli eventi che potrebbero influenzare gli oggetti in un bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di risposta a sicurezza ed errori.

Per eseguire questo controllo, Security Hub CSPM utilizza innanzitutto la logica personalizzata per cercare il bucket in cui sono archiviati CloudTrail i log e quindi utilizza la regola AWS Config gestita per verificare se la registrazione è abilitata.

Se CloudTrail invia file di log da più bucket Amazon S3 Account AWS in un unico bucket Amazon S3 di destinazione, Security Hub CSPM valuta questo controllo solo rispetto al bucket di destinazione nella regione in cui si trova. Questo semplifica le tue scoperte. Tuttavia, dovresti attivare CloudTrail tutti gli account che inviano i log al bucket di destinazione. **Per tutti gli account tranne quello che contiene il bucket di destinazione, lo stato del controllo è Nessun dato.**

### Correzione
<a name="cloudtrail-7-remediation"></a>

*Per abilitare la registrazione dell'accesso al server per il tuo bucket CloudTrail S3, consulta Enabling Amazon [S3 server access logging nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) Storage Service User Guide.*

## [CloudTrail.9] i percorsi devono essere etichettati CloudTrail
<a name="cloudtrail-9"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CloudTrail::Trail`

**AWS Config regola:** `tagged-cloudtrail-trail` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS CloudTrail percorso contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il percorso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il percorso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="cloudtrail-9-remediation"></a>

Per aggiungere tag a un CloudTrail percorso, consulta l'*AWS CloudTrail API [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)*Reference.

## [CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys
<a name="cloudtrail-10"></a>

**Requisiti correlati:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::CloudTrail::EventDataStore`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se un archivio dati di eventi non è crittografato con una chiave KMS nell'elenco.  |  StringList (massimo 3 articoli)  |  1-3 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Nessun valore predefinito  | 

Questo controllo verifica se un data store di eventi AWS CloudTrail Lake è crittografato quando è inattivo e gestito da un cliente. AWS KMS key Il controllo fallisce se l'archivio dati degli eventi non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS per il controllo da includere nella valutazione.

Per impostazione predefinita, AWS CloudTrail Lake crittografa gli archivi di dati degli eventi con chiavi gestite di Amazon S3 (SSE-S3), utilizzando un algoritmo AES-256. Per un controllo aggiuntivo, puoi invece configurare CloudTrail Lake in modo che crittografi un archivio dati di eventi con un archivio gestito dal cliente (SSE-KMS). AWS KMS key Una chiave KMS gestita dal cliente è una chiave AWS KMS key che puoi creare, possedere e gestire in tuo. Account AWS Hai il pieno controllo su questo tipo di chiave KMS. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave. È possibile utilizzare una chiave KMS gestita dal cliente nelle operazioni crittografiche per i dati e verificarne l'utilizzo con i log. CloudTrail CloudTrail 

### Correzione
<a name="cloudtrail-10-remediation"></a>

*Per informazioni sulla crittografia di un data store di eventi AWS CloudTrail Lake con un AWS KMS key valore specificato, consulta [Update an event data store](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) nella Guida per l'utente.AWS CloudTrail * Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

# Controlli CSPM Security Hub per Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il CloudWatch servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»
<a name="cloudwatch-1"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v1.2.0/1.1, benchmark CIS AWS Foundations v1.2.0/3.3, benchmark CIS Foundations v1.4.0/1.7, benchmark CIS AWS Foundations v1.4.0/4.3, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Tipo di risorsa:,,** `AWS::Logs::MetricFilter` `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

L'utente root ha accesso illimitato a tutti i servizi e le risorse in un file. Account AWS Si consiglia vivamente di evitare di utilizzare l'utente root per le attività quotidiane. La riduzione al minimo dell'uso dell'utente root e l'adozione del principio del privilegio minimo per la gestione degli accessi riducono il rischio di modifiche accidentali e di divulgazione involontaria di credenziali altamente privilegiate.

[Come procedura ottimale, è consigliabile utilizzare le credenziali dell'utente root solo quando necessario per eseguire attività di gestione degli account e dei servizi.](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) Applica le policy AWS Identity and Access Management (IAM) direttamente ai gruppi e ai ruoli ma non agli utenti. Per un tutorial su come configurare un amministratore per l'uso quotidiano, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 1.7 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-1-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate
<a name="cloudwatch-2"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter`Tipo** `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le chiamate API non autorizzate. Il monitoraggio delle chiamate API non autorizzate consente di rilevare errori dell'applicazione e ridurre il tempo necessario per individuare attività malevola.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.1 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-2-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA
<a name="cloudwatch-3"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.2 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**Tipo di risorsa:,,,** `AWS::Logs::MetricFilter` `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e accessi alla console di allarme non protetti da MFA. Il monitoraggio per accessi alla console a singolo fattore incrementa la visibilità negli account che non sono protetti da MFA. 

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.2 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-3-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM
<a name="cloudwatch-4"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate alle politiche IAM. Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-4-remediation"></a>

**Nota**  
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API IAM.

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione
<a name="cloudwatch-5"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. CloudTrail Il monitoraggio di queste modifiche garantisce visibilità sostenuta per attività dell'account.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.5 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-5-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione
<a name="cloudwatch-6"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per i tentativi di autenticazione della console non riusciti. Il monitoraggio degli accessi alla console non riusciti potrebbe ridurre il lead time per rilevare un tentativo di attacco di forza bruta a una credenziale, che potrebbe fornire un indicatore, ad esempio IP di origine, utilizzabile in altre correlazioni eventi. 

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.6 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-6-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente
<a name="cloudwatch-7"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le chiavi gestite dai clienti che hanno cambiato stato in eliminazione disattivata o pianificata. I dati crittografati con chiavi disabilitate o eliminate non sono più accessibili.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.7 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri. Il controllo fallisce anche se contiene. `ExcludeManagementEventSources` `kms.amazonaws.com`

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-7-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3
<a name="cloudwatch-8"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle politiche dei bucket S3. Il monitoraggio di queste modifiche potrebbe ridurre il tempo necessario per rilevare e correggere policy permissive su bucket S3 sensibili.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.8 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-8-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione
<a name="cloudwatch-9"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo `AWS::CloudTrail::Trail` di risorsa**:**,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. AWS Config Il monitoraggio di queste modifiche garantisce visibilità sostenuta per elementi di configurazione nell'account.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.9 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-9-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza
<a name="cloudwatch-10"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gruppi di sicurezza sono un filtro dei pacchetti stateful che controlla il traffico in entrata e in uscita in un VPC.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gruppi di sicurezza. Il monitoraggio di tali modifiche garantisce che le risorse e i servizi non vengano involontariamente esposti. 

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.10 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-10-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)
<a name="cloudwatch-11"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. NACLs vengono utilizzati come filtro di pacchetti stateless per controllare il traffico in ingresso e in uscita per le sottoreti in un VPC.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche a. NACLs Il monitoraggio di queste modifiche aiuta a garantire che AWS risorse e servizi non vengano esposti involontariamente. 

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.11 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-11-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete
<a name="cloudwatch-12"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1 AWS 

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gateway di rete sono necessari per inviare e ricevere traffico a una destinazione all'esterno di un VPC.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gateway di rete. Il monitoraggio di tali modifiche garantisce che tutto il traffico in entrata e in uscita attraversa il bordo del VPC tramite un percorso controllato.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.12 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-12-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte
<a name="cloudwatch-13"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Le tabelle di routing instradano il traffico di rete tra le sottoreti e i gateway di rete.

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle tabelle di routing. Il monitoraggio di queste modifiche garantisce che tutto il traffico VPC passi attraverso un percorso previsto.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-13-remediation"></a>

**Nota**  
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API Amazon Elastic Compute Cloud (EC2).

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC
<a name="cloudwatch-14"></a>

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Puoi avere più di un VPC in un account e puoi creare una connessione peer tra due VPCs, abilitando l'instradamento del traffico di rete tra di loro. VPCs

Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate a. VPCs Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.

Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.14 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.

**Nota**  
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.  
Il controllo dà `FAILED` risultati nei seguenti casi:  
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:  
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.  
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.

### Correzione
<a name="cloudwatch-14-remediation"></a>

Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.

1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.

   Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.

1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
<a name="cloudwatch-15"></a>

**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5), NIST.800-171.r2 3.3.4, nIST .800-171r2 3,14,6

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::CloudWatch::Alarm`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme ha un'azione quando lo stato dell'allarme cambia a. `ALARM`  |  Booleano  |  Non personalizzabile  |  `true`  | 
|  `insufficientDataActionRequired`  |  Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato dell'allarme cambia a`INSUFFICIENT_DATA`.  |  Booleano  |  `true` o `false`  |  `false`  | 
|  `okActionRequired`  |  Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato di allarme cambia a`OK`.  |  Booleano  |  `true` o `false`  |  `false`  | 

Questo controllo verifica se un CloudWatch allarme Amazon ha almeno un'azione configurata per lo `ALARM` stato. Il controllo fallisce se l'allarme non ha un'azione configurata per lo `ALARM` stato. Facoltativamente, è possibile includere valori di parametri personalizzati per richiedere anche azioni di allarme per gli `OK` stati `INSUFFICIENT_DATA` or.

**Nota**  
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi con le azioni specificate configurate. Il controllo genera `FAILED` risultati nei seguenti casi:  
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito in cui sono configurate le azioni specificate.

Questo controllo si concentra sul fatto che un CloudWatch allarme abbia un'azione di allarme configurata, mentre [CloudWatch.17](#cloudwatch-17) si concentra sullo stato di attivazione di un'azione di CloudWatch allarme.

Consigliamo azioni di CloudWatch allarme per avvisare automaticamente l'utente quando una metrica monitorata supera la soglia definita. Il monitoraggio degli allarmi consente di identificare attività insolite e di rispondere rapidamente ai problemi operativi e di sicurezza quando un allarme entra in uno stato specifico. Il tipo più comune di azione di allarme consiste nell'avvisare uno o più utenti inviando un messaggio a un argomento di Amazon Simple Notification Service (Amazon SNS).

### Correzione
<a name="cloudwatch-15-remediation"></a>

Per informazioni sulle azioni supportate dagli CloudWatch allarmi, consulta [Azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.

## [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato
<a name="cloudwatch-16"></a>

**Categoria:** Identificazione > Registrazione

**Requisiti correlati:**, NIST.800-53.R5 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 SI-12

**Gravità:** media

**Tipo di risorsa:** `AWS::Logs::LogGroup`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Periodo minimo di conservazione in giorni per i gruppi di log CloudWatch   |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Questo controllo verifica se un gruppo di CloudWatch log Amazon ha un periodo di conservazione di almeno il numero di giorni specificato. Il controllo fallisce se il periodo di conservazione è inferiore al numero specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione, Security Hub CSPM utilizza un valore predefinito di 365 giorni.

CloudWatch I log centralizzano i log di tutti i sistemi e le applicazioni Servizi AWS in un unico servizio altamente scalabile. Puoi usare CloudWatch Logs per monitorare, archiviare e accedere ai tuoi file di log da istanze Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, Amazon Route 53 e altre fonti. Conservare i log per almeno 1 anno può aiutarti a rispettare gli standard di conservazione dei log.

### Correzione
<a name="cloudwatch-16-remediation"></a>

Per configurare le impostazioni di conservazione dei log, consulta [Change log data retention in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) nella *Amazon CloudWatch User Guide*.

## [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
<a name="cloudwatch-17"></a>

**Categoria:** Rilevamento > Servizi di rilevamento

**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4 (12)

**Gravità:** alta

**Tipo di risorsa:** `AWS::CloudWatch::Alarm`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le azioni di CloudWatch allarme sono attivate (`ActionEnabled`deve essere impostato su true). Il controllo fallisce se l'azione di allarme per un CloudWatch allarme è disattivata.

**Nota**  
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi che hanno le azioni di allarme attivate. Il controllo genera `FAILED` risultati nei seguenti casi:  
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito con azioni di allarme attivate.

Questo controllo si concentra sullo stato di attivazione di un'azione di CloudWatch allarme, mentre [CloudWatch.15](#cloudwatch-15) si concentra sulla configurazione di `ALARM` un'azione in un CloudWatch allarme.

Le azioni di allarme avvisano automaticamente l'utente quando una metrica monitorata supera la soglia definita. Se l'azione di allarme è disattivata, non viene eseguita alcuna azione quando l'allarme cambia stato e non sarai avvisato delle modifiche nelle metriche monitorate. Ti consigliamo di attivare le azioni di CloudWatch allarme per aiutarti a rispondere rapidamente ai problemi operativi e di sicurezza.

### Correzione
<a name="cloudwatch-17-remediation"></a>

**Per attivare un'azione CloudWatch di allarme (console)**

1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, in **Allarmi**, scegli **Tutti gli allarmi**.

1. Seleziona l'allarme per il quale desideri attivare le azioni.

1. **Per **Azioni**, scegli **Azioni di allarme: nuove**, quindi scegli Abilita.**

Per ulteriori informazioni sull'attivazione delle azioni di CloudWatch allarme, consulta le [azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.

# Controlli CSPM Security Hub per CodeArtifact
<a name="codeartifact-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS CodeArtifact servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] i CodeArtifact repository devono essere etichettati
<a name="codeartifact-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CodeArtifact::Repository`

**AWS Config regola:** `tagged-codeartifact-repository` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AWS CodeArtifact repository ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il repository non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il repository non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="codeartifact-1-remediation"></a>

*Per aggiungere tag a un CodeArtifact repository, consulta Etichettare [un repository CodeArtifact nella](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) Guida per l'utente.AWS CodeArtifact *

# Controlli CSPM Security Hub per CodeBuild
<a name="codebuild-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS CodeBuild servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili
<a name="codebuild-1"></a>

**Requisiti correlati: PCI DSS v3.2.1/8.2.1** NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Categoria:** Protezione > Sviluppo protetto

**Severità:** critica

**Tipo di risorsa:** `AWS::CodeBuild::Project`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'URL del repository di origine Bitbucket di un AWS CodeBuild progetto contiene token di accesso personali o un nome utente e una password. Il controllo fallisce se l'URL del repository di origine Bitbucket contiene token di accesso personali o un nome utente e una password.

**Nota**  
Questo controllo valuta sia la fonte primaria che le fonti secondarie di un progetto di compilazione. CodeBuild *Per ulteriori informazioni sulle fonti del progetto, consulta l'[esempio di fonti di input e artefatti di output multipli](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) nella Guida per l'AWS CodeBuild utente.*

Le credenziali di accesso non devono essere archiviate o trasmesse in testo non crittografato o apparire nell'URL del repository di origine. Invece dei token di accesso personali o delle credenziali di accesso, dovresti accedere al tuo provider di origine e modificare l'URL del repository di origine in CodeBuild modo che contenga solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personali o credenziali di accesso potrebbe comportare l'esposizione involontaria dei dati o l'accesso non autorizzato.

### Correzione
<a name="codebuild-1-remediation"></a>

Puoi aggiornare il tuo progetto per utilizzarlo. CodeBuild OAuth

**Per rimuovere l'autenticazione di base/(GitHub) Personal Access Token dal sorgente CodeBuild del progetto**

1. Apri la CodeBuild console all'indirizzo [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Scegliere il progetto di compilazione contenente i token di accesso personali o un nome utente e una password.

1. Da **Edit (Modifica)**, scegliere **Source (Sorgente)**.

1. Scegli **Disconnetti da GitHub /Bitbucket**.

1. Scegli **Connetti tramite OAuth**, quindi scegli **Connetti a GitHub /Bitbucket**.

1. Quando richiesto, scegliere **authorize as appropriate (autorizza come appropriato)**.

1. Riconfigurare l'URL repository) e le impostazioni di configurazione aggiuntive, se necessario.

1. Scegliere **Update source (Aggiorna origine)**.

*Per ulteriori informazioni, consulta gli [esempi basati su casi CodeBuild d'uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) nella Guida per l'utente.AWS CodeBuild *

## [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato
<a name="codebuild-2"></a>

**Requisiti correlati:** NIST.800-53.r5 IA-5 (7), PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Categoria:** Protezione > Sviluppo protetto

**Severità:** critica

**Tipo di risorsa:** `AWS::CodeBuild::Project`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il progetto contiene le variabili di ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`.

Le credenziali di autenticazione `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` non devono mai essere memorizzate in testo non crittografato, in quanto ciò potrebbe comportare l'esposizione non intenzionale dei dati e l'accesso non autorizzato.

### Correzione
<a name="codebuild-2-remediation"></a>

Per rimuovere le variabili di ambiente da un CodeBuild progetto, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guida per l'AWS CodeBuild utente*. Assicurati che non sia selezionato nulla per **le variabili di ambiente**.

Puoi memorizzare le variabili di ambiente con valori sensibili nel AWS Systems Manager Parameter Store o Gestione dei segreti AWS recuperarle dalle specifiche di build. *Per istruzioni, consulta la casella denominata **Importante** nella [sezione Ambiente della Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) per l'AWS CodeBuild utente.*

## [CodeBuild.3] I log CodeBuild S3 devono essere crittografati
<a name="codebuild-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), PCI DSS v4.0.1/10.3.2

**Categoria**: Proteggi > Protezione dei dati > Crittografia di data-at-rest

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CodeBuild::Project`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i log di Amazon S3 per un AWS CodeBuild progetto sono crittografati. Il controllo fallisce se la crittografia è disattivata per i log S3 di un progetto. CodeBuild 

La crittografia dei dati inattivi è una best practice consigliata per aggiungere un livello di gestione degli accessi ai dati. La crittografia dei registri inattivi riduce il rischio che un utente non autenticato da acceda AWS ai dati archiviati su disco. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. 

### Correzione
<a name="codebuild-3-remediation"></a>

*Per modificare le impostazioni di crittografia per i log CodeBuild del progetto S3, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) per l'AWS CodeBuild utente.*

## [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
<a name="codebuild-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::CodeBuild::Project`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un ambiente di CodeBuild progetto ha almeno un'opzione di registro, su S3 o sui CloudWatch log abilitati. Questo controllo fallisce se un ambiente di CodeBuild progetto non ha almeno un'opzione di registro abilitata. 

Dal punto di vista della sicurezza, la registrazione è una funzionalità importante per consentire future attività di analisi forense in caso di incidenti di sicurezza. La correlazione delle anomalie nei CodeBuild progetti con il rilevamento delle minacce può aumentare la fiducia nell'accuratezza di tali rilevamenti di minacce.

### Correzione
<a name="codebuild-4-remediation"></a>

Per ulteriori informazioni su come configurare le impostazioni CodeBuild del registro di progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) per l'utente. CodeBuild 

## [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata
<a name="codebuild-5"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, (10) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2) NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi

**Gravità:** alta

**Tipo di risorsa:** `AWS::CodeBuild::Project`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'ambiente di AWS CodeBuild progetto ha la modalità privilegiata abilitata o disabilitata. Il controllo fallisce se in un ambiente di CodeBuild progetto è abilitata la modalità privilegiata.

Per impostazione predefinita, i contenitori Docker non consentono l'accesso a nessun dispositivo. La modalità privilegiata garantisce l'accesso al contenitore Docker di un progetto a tutti i dispositivi. L'impostazione `privilegedMode` con valore `true` consente al demone Docker di funzionare all'interno di un contenitore Docker. Il daemon Docker ascolta le richieste dell'API Docker e gestisce oggetti Docker come immagini, contenitori, reti e volumi. Questo parametro deve essere impostato su true solo se il progetto di compilazione viene utilizzato per creare immagini Docker. Altrimenti, questa impostazione dovrebbe essere disabilitata per impedire l'accesso involontario a Docker APIs e all'hardware sottostante del contenitore. L'impostazione `false` consente `privilegedMode` di proteggere le risorse critiche da manomissioni ed eliminazioni.

### Correzione
<a name="codebuild-5-remediation"></a>

Per configurare le impostazioni dell'ambiente di CodeBuild progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) per l'*CodeBuild utente*. Nella sezione **Ambiente**, non selezionare l'impostazione **Privileged**.

## [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive
<a name="codebuild-7"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::CodeBuild::ReportGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i risultati dei test di un gruppo di AWS CodeBuild report esportati in un bucket Amazon Simple Storage Service (Amazon S3) sono crittografati quando sono inattivi. Il controllo fallisce se l'esportazione del gruppo di report non è crittografata quando è inattivo.

I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="codebuild-7-remediation"></a>

*Per crittografare l'esportazione del gruppo di report in S3, consulta [Aggiornare un gruppo di report](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) nella Guida per l'utente.AWS CodeBuild *

# Controlli CSPM di Security Hub per Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon CodeGuru Profiler.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
<a name="codeguruprofiler-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CodeGuruProfiler::ProfilingGroup`

**Regola AWS Config : ** `codeguruprofiler-profiling-group-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gruppo di CodeGuru profilazione Amazon Profiler dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il gruppo di profilazione non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di profilazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="codeguruprofiler-1-remediation"></a>

Per aggiungere tag a un gruppo di CodeGuru profilazione Profiler, consulta [Tagging profiling groups nella](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) *Amazon CodeGuru * Profiler User Guide.

# Controlli CSPM di Security Hub per Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le CodeGuru risorse Amazon Reviewer.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
<a name="codegurureviewer-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**Regola AWS Config : ** `codegurureviewer-repository-association-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'associazione di repository Amazon CodeGuru Reviewer ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'associazione di repository non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'associazione del repository non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="codegurureviewer-1-remediation"></a>

Per aggiungere tag a un'associazione di repository CodeGuru Reviewer, consulta [Tagging a repository association nella](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) *Amazon CodeGuru * Reviewer User Guide.

# Controlli CSPM del Security Hub per Amazon Cognito
<a name="cognito-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Cognito. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard
<a name="cognito-1"></a>

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::UserPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  La modalità di applicazione della protezione dalle minacce verificata dal controllo.  |  Stringa  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla piena funzionalità per l'autenticazione standard. Il controllo fallisce se nel pool di utenti la protezione dalle minacce è disattivata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione standard. A meno che non si forniscano valori di parametro personalizzati, Security Hub CSPM utilizza il valore predefinito di `ENFORCED` for enforcement mode impostato su full function per l'autenticazione standard.

Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce e personalizzare le azioni intraprese in risposta a diversi rischi. In alternativa, puoi utilizzare la modalità di controllo per raccogliere metriche sui rischi rilevati senza applicare alcuna mitigazione della sicurezza. In modalità di controllo, la protezione dalle minacce pubblica i parametri su Amazon. CloudWatch Puoi visualizzare le metriche dopo che Amazon Cognito ha generato il suo primo evento.

### Correzione
<a name="cognito-1-remediation"></a>

Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, [consulta Sicurezza avanzata con protezione dalle minacce](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) nella *Amazon Cognito* Developer Guide.

## [Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate
<a name="cognito-2"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::IdentityPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un pool di identità di Amazon Cognito è configurato per consentire identità non autenticate. Il controllo fallisce se l'accesso guest è attivato (il `AllowUnauthenticatedIdentities` parametro è impostato su`true`) per il pool di identità.

Se un pool di identità di Amazon Cognito consente identità non autenticate, il pool di identità fornisce AWS credenziali temporanee agli utenti che non si sono autenticati tramite un provider di identità (ospiti). Ciò crea rischi per la sicurezza perché consente l'accesso anonimo alle risorse. AWS Se disattivi l'accesso come ospite, puoi contribuire a garantire che solo gli utenti correttamente autenticati possano accedere alle tue AWS risorse, riducendo il rischio di accessi non autorizzati e potenziali violazioni della sicurezza. Come best practice, un pool di identità dovrebbe richiedere l'autenticazione tramite provider di identità supportati. Se è necessario un accesso non autenticato, è importante limitare attentamente le autorizzazioni per le identità non autenticate e rivederne e monitorarne regolarmente l'utilizzo.

### Correzione
<a name="cognito-2-remediation"></a>

Per informazioni sulla disattivazione dell'accesso guest per un pool di identità di Amazon Cognito, [consulta Attivare o disattivare l'accesso guest](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) nella Amazon *Cognito* Developer Guide.

## [Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate
<a name="cognito-3"></a>

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::UserPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | Il numero minimo di caratteri che una password deve contenere.  | Numero intero | `8` Da a `128` | `8 ` | 
|  `requireLowercase`  | Richiede almeno un carattere minuscolo in una password.  | Booleano | `True`, `False` | `True`  | 
|  `requireUppercase`  | Richiede almeno un carattere maiuscolo in una password.  | Booleano | `True`, `False` | `True`  | 
|  `requireNumbers`  | Richiede almeno un numero in una password.  | Booleano | `True`, `False` | `True`  | 
|  `requireSymbols`  | Richiede almeno un simbolo in una password.  | Booleano | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | Il numero massimo di giorni in cui una password può esistere prima della scadenza.  | Numero intero | `7` Da a `365` | `7`  | 

Questo controllo verifica se la politica delle password per un pool di utenti di Amazon Cognito richiede l'uso di password complesse, in base alle impostazioni consigliate per le politiche di password. Il controllo ha esito negativo se la politica delle password per il pool di utenti non richiede password complesse. Facoltativamente, è possibile specificare valori personalizzati per le impostazioni dei criteri controllate dal controllo.

Le password complesse sono una best practice di sicurezza per i pool di utenti di Amazon Cognito. Le password deboli possono esporre le credenziali degli utenti a sistemi che indovinano le password e cercano di accedere ai dati. Questo è particolarmente vero per le applicazioni aperte a Internet. Le politiche relative alle password sono un elemento centrale della sicurezza degli elenchi degli utenti. Utilizzando una politica in materia di password, è possibile configurare un pool di utenti in modo da richiedere la complessità delle password e altre impostazioni conformi agli standard e ai requisiti di sicurezza.

### Correzione
<a name="cognito-3-remediation"></a>

Per informazioni sulla creazione o l'aggiornamento della politica di password per un pool di utenti di Amazon Cognito, consulta [Aggiungere i requisiti di password del pool di utenti](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) nella *Amazon Cognito Developer Guide*.

## [Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata
<a name="cognito-4"></a>

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::UserPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla funzionalità completa per l'autenticazione personalizzata. Il controllo fallisce se il pool di utenti ha la protezione dalle minacce disabilitata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione personalizzata.

La protezione dalle minacce, precedentemente denominata funzionalità di sicurezza avanzate, è un insieme di strumenti di monitoraggio delle attività indesiderate nel pool di utenti e strumenti di configurazione per arrestare automaticamente le attività potenzialmente dannose. Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata e personalizzare le azioni intraprese in risposta a diversi rischi. La modalità con funzionalità complete include una serie di reazioni automatiche per rilevare attività indesiderate e password compromesse.

### Correzione
<a name="cognito-4-remediation"></a>

Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, [consulta Sicurezza avanzata con protezione dalle minacce](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) nella *Amazon Cognito* Developer Guide.

## [Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito
<a name="cognito-5"></a>

**Categoria: Protezione > Gestione sicura degli accessi** > Autenticazione a più fattori

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::UserPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un pool di utenti di Amazon Cognito configurato con una politica di accesso con sola password ha l'autenticazione a più fattori (MFA) abilitata. Il controllo ha esito negativo se il pool di utenti configurato con un criterio di accesso basato sulla sola password non ha l'MFA abilitata.

L'autenticazione a più fattori (MFA) aggiunge un fattore di autenticazione «qualcosa che possiedi» al fattore «qualcosa che conosci» (in genere nome utente e password). Per gli utenti federati, Amazon Cognito delega l'autenticazione al provider di identità (IdP) e non offre fattori di autenticazione aggiuntivi. Tuttavia, se si dispone di utenti locali con autenticazione tramite password, la configurazione dell'MFA per il pool di utenti ne aumenta la sicurezza.

**Nota**  
Questo controllo non è applicabile agli utenti federati e agli utenti che accedono con fattori privi di password.

### Correzione
<a name="cognito-5-remediation"></a>

*Per informazioni su come configurare l'autenticazione a più fattori per un pool di utenti di Amazon Cognito, consulta [Adding MFA a un pool di utenti nella](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Amazon Cognito Developer Guide.*

## [Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata
<a name="cognito-6"></a>

**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::Cognito::UserPool`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione è disabilitata per il pool di utenti.

La protezione dall'eliminazione aiuta a garantire che il pool di utenti non venga eliminato accidentalmente. Quando si configura un pool di utenti con protezione dall'eliminazione, il pool non può essere eliminato da nessun utente. La protezione da eliminazione impedisce di richiedere l'eliminazione di un pool di utenti a meno che non si modifichi prima il pool e si disattivi la protezione dall'eliminazione.

### Correzione
<a name="cognito-6-remediation"></a>

Per configurare la protezione dall'eliminazione per un pool di utenti di Amazon Cognito, consulta [Protezione dall'eliminazione del pool di utenti](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) nella *Amazon Cognito Developer Guide*.

# Controlli CSPM Security Hub per AWS Config
<a name="config-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS Config servizio e le risorse.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse
<a name="config-1"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6 (1), NIST.800-53.r5 CM-8 (2), PCI DSS versione 3.2.1/10.5.2, PCI DSS versione 3.2.1/11.5 AWS 

**Categoria:** Identificazione > Inventario

**Severità:** critica

**Tipo di risorsa:** `AWS::::Account`

**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  Il controllo non valuta se AWS Config utilizza il ruolo collegato al servizio se il parametro è impostato su. `false`  |  Booleano  |  `true` o `false`  |  `true`  | 

Questo controllo verifica se AWS Config è abilitato nell'account corrente Regione AWS, registra tutte le risorse che corrispondono ai controlli abilitati nella regione corrente e utilizza il ruolo collegato al [servizio AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Il nome del ruolo collegato al servizio è. **AWSServiceRoleForConfig** Se non si utilizza il ruolo collegato al servizio e non si imposta il `includeConfigServiceLinkedRoleCheck` parametro su`false`, il controllo ha esito negativo perché altri ruoli potrebbero non disporre delle autorizzazioni necessarie per AWS Config registrare accuratamente le risorse.

Il AWS Config servizio esegue la gestione della configurazione delle AWS risorse supportate nell'account e fornisce i file di registro. Le informazioni registrate includono l'elemento di configurazione (AWS risorsa), le relazioni tra gli elementi di configurazione e qualsiasi modifica alla configurazione all'interno delle risorse. Le risorse globali sono risorse disponibili in qualsiasi regione.

Il controllo viene valutato come segue:
+ Se la regione corrente è impostata come [regione di aggregazione](finding-aggregation.md), il controllo produce `PASSED` risultati solo se vengono registrate risorse globali AWS Identity and Access Management (IAM) (se sono stati abilitati i controlli che li richiedono).
+ Se la regione corrente è impostata come regione collegata, il controllo non valuta se le risorse globali IAM sono registrate.
+ Se la regione corrente non è nel tuo aggregatore o se l'aggregazione tra regioni non è impostata nel tuo account, il controllo produce `PASSED` risultati solo se le risorse globali IAM sono registrate (se hai abilitato i controlli che li richiedono).

I risultati del controllo non sono influenzati dalla scelta della registrazione giornaliera o continua delle modifiche allo stato delle risorse in. AWS Config Tuttavia, i risultati di questo controllo possono cambiare quando vengono rilasciati nuovi controlli se è stata configurata l'attivazione automatica di nuovi controlli o se si dispone di una politica di configurazione centrale che abilita automaticamente nuovi controlli. In questi casi, se non si registrano tutte le risorse, è necessario configurare la registrazione per le risorse associate ai nuovi controlli per ricevere un `PASSED` risultato.

I controlli di sicurezza CSPM di Security Hub funzionano come previsto solo se si abilita AWS Config in tutte le regioni e si configura la registrazione delle risorse per i controlli che la richiedono.

**Nota**  
Config.1 richiede che AWS Config sia abilitato in tutte le regioni in cui si utilizza Security Hub CSPM.  
Poiché Security Hub CSPM è un servizio regionale, il controllo eseguito per questo controllo valuta solo la regione corrente per l'account.  
Per consentire i controlli di sicurezza sulle risorse globali IAM in una regione, è necessario registrare le risorse globali IAM in quella regione. Le regioni in cui non sono registrate risorse globali IAM riceveranno un `PASSED` risultato predefinito per i controlli che controllano le risorse globali IAM. Poiché le risorse globali IAM sono identiche in tutte le aree Regioni AWS, ti consigliamo di registrare le risorse globali IAM solo nella regione principale (se l'aggregazione interregionale è abilitata nel tuo account). Le risorse IAM verranno registrate solo nella regione in cui è attivata la registrazione delle risorse globali.  
I tipi di risorse IAM registrati a livello globale che AWS Config supportano sono utenti, gruppi, ruoli e politiche gestite dai clienti IAM. Puoi prendere in considerazione la possibilità di disabilitare i controlli CSPM di Security Hub che controllano questi tipi di risorse nelle regioni in cui la registrazione globale delle risorse è disattivata. Per ulteriori informazioni, consulta [Controlli consigliati da disabilitare in Security Hub CSPM](controls-to-disable.md).

### Correzione
<a name="config-1-remediation"></a>

Nella regione principale e nelle regioni che non fanno parte di un aggregatore, registra tutte le risorse necessarie per i controlli abilitati nella regione corrente, incluse le risorse globali IAM se hai abilitato controlli che richiedono risorse globali IAM.

Nelle regioni collegate, è possibile utilizzare qualsiasi modalità di AWS Config registrazione, purché si registrino tutte le risorse che corrispondono ai controlli abilitati nella regione corrente. Nelle regioni collegate, se hai abilitato i controlli che richiedono la registrazione di risorse globali IAM, non riceverai alcun `FAILED` risultato (la registrazione di altre risorse è sufficiente).

Il `StatusReasons` campo nell'`Compliance`oggetto della ricerca può aiutarti a determinare il motivo per cui hai fallito la ricerca per questo controllo. Per ulteriori informazioni, consulta [Dettagli sulla conformità per i risultati del controllo](controls-findings-create-update.md#control-findings-asff-compliance).

Per un elenco delle risorse da registrare per ogni controllo, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md). Per informazioni generali sull'attivazione AWS Config e la configurazione della registrazione delle risorse, vedere[Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md).

# Controlli CSPM del Security Hub per Amazon Connect
<a name="connect-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Connect.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
<a name="connect-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::CustomerProfiles::ObjectType`

**Regola AWS Config : ** `customerprofiles-object-type-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un tipo di oggetto Amazon Connect Customer Profiles ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il tipo di oggetto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il tipo di oggetto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="connect-1-remediation"></a>

Per aggiungere tag a un tipo di oggetto Customer Profiles, consulta [Aggiungere tag alle risorse in Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) nella *Amazon Connect Administrator Guide*.

## [Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
<a name="connect-2"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Connect::Instance`

**Regola AWS Config : ** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza Amazon Connect è configurata per generare e archiviare log di flusso in un gruppo di CloudWatch log Amazon. Il controllo fallisce se l'istanza Amazon Connect non è configurata per generare e archiviare log di flusso in un gruppo di CloudWatch log.

I log di flusso di Amazon Connect forniscono dettagli in tempo reale sugli eventi nei flussi di Amazon Connect. Un *flusso* definisce l'esperienza del cliente con un contact center Amazon Connect dall'inizio alla fine. Per impostazione predefinita, quando crei una nuova istanza Amazon Connect, viene creato automaticamente un gruppo di CloudWatch log Amazon per archiviare i log di flusso per l'istanza. I log di flusso possono aiutarti ad analizzare i flussi, trovare errori e monitorare le metriche operative. Puoi anche impostare avvisi per eventi specifici che possono verificarsi in un flusso.

### Correzione
<a name="connect-2-remediation"></a>

Per informazioni sull'abilitazione dei log di flusso per un'istanza Amazon Connect, consulta [Abilitare i log di flusso di Amazon Connect in un gruppo di CloudWatch log Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) Connect nella *Amazon Connect Administrator Guide*.

# Controlli CSPM del Security Hub per Amazon Data Firehose
<a name="datafirehose-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Data Firehose.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi
<a name="datafirehose-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, 3, 8 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::KinesisFirehose::DeliveryStream`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno 

Questo controllo verifica se un flusso di distribuzione di Amazon Data Firehose è crittografato quando è inattivo con la crittografia lato server. Questo controllo fallisce se un flusso di distribuzione Firehose non è crittografato a riposo con la crittografia lato server.

La crittografia lato server è una funzionalità dei flussi di distribuzione di Amazon Data Firehose che crittografa automaticamente i dati prima che siano inattivi utilizzando una chiave creata in (). AWS Key Management Service AWS KMS I dati vengono crittografati prima di essere scritti nel layer di storage stream Data Firehose e decrittografati dopo essere stati recuperati dallo storage. Ciò consente di rispettare i requisiti normativi e di migliorare la sicurezza dei dati.

### Correzione
<a name="datafirehose-1-remediation"></a>

*Per abilitare la crittografia lato server sui flussi di distribuzione Firehose, consulta la sezione [Protezione dei dati in Amazon Data Firehose nella Amazon Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) Guide.*

# Controlli CSPM Security Hub per AWS Database Migration Service
<a name="dms-controls"></a>

Questi AWS Security Hub CSPM controlli valutano AWS Database Migration Service (AWS DMS) e AWS DMS le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
<a name="dms-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.2 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se le istanze di AWS DMS replica sono pubbliche. A tale scopo, esamina il valore del campo. `PubliclyAccessible`

Un'istanza di replica privata ha un indirizzo IP privato a cui non è possibile accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa al VPC dell'istanza di replica utilizzando una VPN o un Direct Connect peering VPC. *Per ulteriori informazioni sulle istanze di replica pubbliche e private, consulta Istanze di replica [pubbliche e private](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) nella Guida per l'utente.AWS Database Migration Service *

È inoltre necessario assicurarsi che l'accesso alla configurazione dell' AWS DMS istanza sia limitato ai soli utenti autorizzati. A tale scopo, limita le autorizzazioni IAM degli utenti per modificare AWS DMS impostazioni e risorse.

### Correzione
<a name="dms-1-remediation"></a>

Non è possibile modificare l'impostazione di accesso pubblico per un'istanza di replica DMS dopo averla creata. Per modificare l'impostazione di accesso pubblico, [elimina l'istanza corrente](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) e quindi [ricreala](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Non selezionare l'opzione **Accessibile pubblicamente**.

## [DMS.2] I certificati DMS devono essere etichettati
<a name="dms-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DMS::Certificate`

**AWS Config regola:** `tagged-dms-certificate` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS DMS certificato ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="dms-2-remediation"></a>

*Per aggiungere tag a un certificato DMS, consulta [Tagging resources AWS Database Migration Service nella](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *

## [DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
<a name="dms-3"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DMS::EventSubscription`

**AWS Config regola:** `tagged-dms-eventsubscription` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una sottoscrizione a un AWS DMS evento ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la sottoscrizione all'evento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottoscrizione all'evento non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="dms-3-remediation"></a>

*Per aggiungere tag a un abbonamento a un evento DMS, consulta [Tagging resources AWS Database Migration Service nella](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *

## [DMS.4] Le istanze di replica DMS devono essere contrassegnate
<a name="dms-4"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`

**AWS Config regola:** `tagged-dms-replicationinstance` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un'istanza di AWS DMS replica ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'istanza di replica non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza di replica non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="dms-4-remediation"></a>

*Per aggiungere tag a un'istanza di replica DMS, consulta [Tagging resources nella AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *

## [DMS.5] I sottoreti di replica DMS devono essere etichettati
<a name="dms-5"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config regola:** `tagged-dms-replicationsubnetgroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un gruppo di AWS DMS sottoreti di replica dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il gruppo di sottorete di replica non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete di replica non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="dms-5-remediation"></a>

*Per aggiungere tag a un sottogruppo di replica DMS, consulta [Tagging resources](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato
<a name="dms-6"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un'istanza di AWS DMS replica. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per un'istanza di replica DMS.

DMS fornisce l'aggiornamento automatico delle versioni secondarie a ciascun motore di replica supportato, in modo da poter mantenere l'istanza di replica. up-to-date Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sulle istanze di replica DMS, gli aggiornamenti minori vengono applicati automaticamente durante la finestra di manutenzione o immediatamente se viene selezionata l'opzione **Applica** modifiche immediatamente.

### Correzione
<a name="dms-6-remediation"></a>

*Per abilitare l'aggiornamento automatico delle versioni secondarie sulle istanze di replica DMS, vedere [Modifica](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) di un'istanza di replica nella Guida per l'utente.AWS Database Migration Service *

## [DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata
<a name="dms-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::ReplicationTask`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di `LOGGER_SEVERITY_DEFAULT` per le attività di replica DMS e. `TARGET_APPLY` `TARGET_LOAD` Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. `LOGGER_SEVERITY_DEFAULT`

DMS utilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
+ `TARGET_APPLY`: i dati e le istruzioni DDL (Data Definition Language) vengono applicati al database di destinazione.
+ `TARGET_LOAD`: i dati vengono caricati nel database di destinazione.

La registrazione svolge un ruolo fondamentale nelle attività di replica DMS in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da `DEFAULT` sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come `DEFAULT` per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo `DEFAULT` garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. `LOGGER_SEVERITY_DEFAULT` `LOGGER_SEVERITY_DEBUG` `LOGGER_SEVERITY_DETAILED_DEBUG`

### Correzione
<a name="dms-7-remediation"></a>

*Per abilitare la registrazione per le attività di replica DMS del database di destinazione, vedere [Visualizzazione e gestione dei AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) registri delle attività nella Guida per l'utente.AWS Database Migration Service *

## [DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata
<a name="dms-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::ReplicationTask`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di `LOGGER_SEVERITY_DEFAULT` per le attività di replica DMS e. `SOURCE_CAPTURE` `SOURCE_UNLOAD` Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. `LOGGER_SEVERITY_DEFAULT`

DMS utilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
+ `SOURCE_CAPTURE`— I dati di replica continua o di acquisizione dei dati di modifica (CDC) vengono acquisiti dal database o dal servizio di origine e passati al componente del `SORTER` servizio.
+ `SOURCE_UNLOAD`— I dati vengono scaricati dal database o dal servizio di origine durante il pieno caricamento.

La registrazione svolge un ruolo fondamentale nelle attività di replica DMS poiché consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da `DEFAULT` sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come `DEFAULT` per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo `DEFAULT` garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. `LOGGER_SEVERITY_DEFAULT` `LOGGER_SEVERITY_DEBUG` `LOGGER_SEVERITY_DETAILED_DEBUG`

### Correzione
<a name="dms-8-remediation"></a>

*Per abilitare la registrazione per le attività di replica DMS del database di origine, vedere [Visualizzazione e gestione dei AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) registri delle attività nella Guida per l'utente.AWS Database Migration Service *

## [DMS.9] Gli endpoint DMS devono utilizzare SSL
<a name="dms-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, PCI NIST.800-53.r5 SC-8 DSS NIST.800-53.r5 SC-8 v4.0.1/4.2.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::Endpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS DMS endpoint utilizza una connessione SSL. Il controllo ha esito negativo se l'endpoint non utilizza SSL.

Le connessioni SSL/TLS forniscono un livello di sicurezza crittografando le connessioni tra le istanze di replica DMS e il database. L'utilizzo dei certificati fornisce un ulteriore livello di sicurezza convalidando che la connessione venga stabilita al database previsto. A tale scopo, verifica il certificato del server che viene installato automaticamente su tutte le istanze di database fornite. Abilitando la connessione SSL sugli endpoint DMS, proteggete la riservatezza dei dati durante la migrazione.

### Correzione
<a name="dms-9-remediation"></a>

*Per aggiungere una connessione SSL a un endpoint DMS nuovo o esistente, consulta [Using SSL](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) with nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
<a name="dms-10"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2,,, 7,, NIST.800-53.r5 AC-3, PCI DSS NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-1 v4.0.1/7.3.1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::Endpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS DMS endpoint per un database Amazon Neptune è configurato con l'autorizzazione IAM. Il controllo fallisce se l'endpoint DMS non ha l'autorizzazione IAM abilitata.

AWS Identity and Access Management (IAM) fornisce un controllo granulare degli accessi su tutto il territorio. AWS Con IAM, puoi specificare chi può accedere a quali servizi e risorse e in quali condizioni. Con le policy IAM, gestisci le autorizzazioni per la tua forza lavoro e i tuoi sistemi per garantire le autorizzazioni con privilegi minimi. Abilitando l'autorizzazione IAM sugli AWS DMS endpoint per i database Neptune, puoi concedere privilegi di autorizzazione agli utenti IAM utilizzando un ruolo di servizio specificato dal parametro. `ServiceAccessRoleARN`

### Correzione
<a name="dms-10-remediation"></a>

*Per abilitare l'autorizzazione IAM sugli endpoint DMS per i database Neptune, consulta Using Amazon [Neptune come target nella Guida per l'utente](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html). AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
<a name="dms-11"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-3,,, PCI DSS v4.0.1/7.3.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::Endpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS DMS endpoint per MongoDB è configurato con un meccanismo di autenticazione. Il controllo fallisce se non è impostato un tipo di autenticazione per l'endpoint.

AWS Database Migration Service **supporta due metodi di autenticazione per MongoDB: **MONGODB-CR per MongoDB versione 2.x e SCRAM-SHA-1** per MongoDB versione 3.x o successiva.** Questi metodi di autenticazione vengono utilizzati per autenticare e crittografare le password MongoDB se gli utenti desiderano utilizzare le password per accedere ai database. L'autenticazione sugli AWS DMS endpoint garantisce che solo gli utenti autorizzati possano accedere e modificare i dati migrati tra i database. Senza un'autenticazione adeguata, gli utenti non autorizzati potrebbero essere in grado di accedere ai dati sensibili durante il processo di migrazione. Ciò può causare violazioni dei dati, perdita di dati o altri incidenti di sicurezza.

### Correzione
<a name="dms-11-remediation"></a>

*Per abilitare un meccanismo di autenticazione sugli endpoint DMS per MongoDB, consulta [Usare MongoDB](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) come fonte nella Guida per l'utente. AWS DMSAWS Database Migration Service *

## [DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
<a name="dms-12"></a>

**Requisiti correlati**:, 3, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1

**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::Endpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS DMS endpoint per Redis OSS è configurato con una connessione TLS. Il controllo fallisce se sull'endpoint non è abilitato TLS.

TLS fornisce end-to-end sicurezza quando i dati vengono inviati tra applicazioni o database su Internet. Quando configuri la crittografia SSL per l'endpoint DMS, abilita la comunicazione crittografata tra i database di origine e di destinazione durante il processo di migrazione. Questo aiuta a prevenire l'intercettazione e l'intercettazione di dati sensibili da parte di malintenzionati. Senza la crittografia SSL, è possibile accedere ai dati sensibili, con conseguenti violazioni dei dati, perdita di dati o altri incidenti di sicurezza.

### Correzione
<a name="dms-12-remediation"></a>

*Per abilitare una connessione TLS sugli endpoint DMS per Redis, consulta [Using Redis come](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) target nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità
<a name="dms-13"></a>

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza di replica AWS Database Migration Service (AWS DMS) è configurata per utilizzare più zone di disponibilità (implementazione Multi-AZ). Il controllo ha esito negativo se l'istanza di AWS DMS replica non è configurata per utilizzare una distribuzione Multi-AZ.

In una distribuzione Multi-AZ, effettua AWS DMS automaticamente il provisioning e mantiene una replica in standby di un'istanza di replica in una zona di disponibilità (AZ) diversa. L'istanza di replica principale viene quindi replicata in modo sincrono nella replica in standby. Se l'istanza di replica primaria incorre in un guasto o non risponde, l'istanza di standby riprende tutte le attività in esecuzione con un'interruzione minima. *Per ulteriori informazioni, consulta [Lavorare con un'istanza di replica](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) nella Guida per l'utente.AWS Database Migration Service *

### Correzione
<a name="dms-13-remediation"></a>

Dopo aver creato un'istanza di AWS DMS replica, è possibile modificare le relative impostazioni di distribuzione Multi-AZ. *Per informazioni sulla modifica di questa e di altre impostazioni per un'istanza di replica esistente, vedere [Modifica di un'istanza di replica nella Guida](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) per l'utente.AWS Database Migration Service *

# Controlli CSPM Security Hub per AWS DataSync
<a name="datasync-controls"></a>

Questi controlli CSPM di Security Hub valutano il AWS DataSync servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync le attività devono avere la registrazione abilitata
<a name="datasync-1"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::DataSync::Task`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se per un' AWS DataSync attività è abilitata la registrazione. Il controllo fallisce se per l'attività non è abilitata la registrazione.

I registri di controllo tengono traccia e monitorano le attività del sistema. Forniscono una registrazione degli eventi che può aiutarvi a rilevare violazioni della sicurezza, indagare sugli incidenti e rispettare le normative. I registri di controllo migliorano anche la responsabilità e la trasparenza complessive dell'organizzazione.

### Correzione
<a name="datasync-1-remediation"></a>

*Per informazioni sulla configurazione della registrazione per le AWS DataSync attività, consulta [Monitoraggio dei trasferimenti di dati con Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) nella Guida per l'AWS DataSync utente.*

## [DataSync.2] DataSync le attività devono essere etichettate
<a name="datasync-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DataSync::Task`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un' AWS DataSync attività ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se l'attività non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="datasync-2-remediation"></a>

Per informazioni sull'aggiunta di tag a un' AWS DataSync attività, consulta [Taggare le AWS DataSync attività](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) nella *Guida per l'AWS DataSync utente*.

# Controlli CSPM di Security Hub per Amazon Detective
<a name="detective-controls"></a>

Questo AWS Security Hub CSPM controllo valuta il servizio e le risorse di Amazon Detective. Il controllo potrebbe non essere disponibile in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] I grafici del comportamento dei Detective devono essere etichettati
<a name="detective-1"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Detective::Graph`

**AWS Config regola:** `tagged-detective-graph` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un grafico comportamentale di Amazon Detective contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il grafico del comportamento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il grafico del comportamento non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="detective-1-remediation"></a>

Per aggiungere tag a un grafico del comportamento di un Detective, consulta [Aggiungere tag a un grafico comportamentale](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) nella *Amazon Detective Administration Guide*.

# Controlli CSPM del Security Hub per Amazon DocumentDB
<a name="documentdb-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon DocumentDB (con compatibilità con MongoDB). I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
<a name="documentdb-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon DocumentDB è crittografato a riposo. Il controllo fallisce se un cluster Amazon DocumentDB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nei cluster Amazon DocumentDB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza. Amazon DocumentDB utilizza l'Advanced Encryption Standard (AES-256) a 256 bit per crittografare i dati utilizzando chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS

### Correzione
<a name="documentdb-1-remediation"></a>

Puoi abilitare la crittografia a riposo quando crei un cluster Amazon DocumentDB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta [Enabling encryption at rest for an Amazon DocumentDB cluster nella Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) *Developer Guide*.

## [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato
<a name="documentdb-2"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

**Categoria**: Ripristino > Resilienza > Backup abilitati

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periodo minimo di conservazione dei backup in giorni  |  Numero intero  |  `7` Da a `35`  |  `7`  | 

Questo controllo verifica se un cluster Amazon DocumentDB ha un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione del backup è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Amazon DocumentDB, sarai in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. In Amazon DocumentDB, i cluster hanno un periodo di conservazione dei backup predefinito di 1 giorno. Questo periodo deve essere aumentato a un valore compreso tra 7 e 35 giorni per passare questo controllo.

### Correzione
<a name="documentdb-2-remediation"></a>

*Per modificare il periodo di conservazione dei backup per i cluster Amazon DocumentDB, consulta [Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Per **Backup**, scegli il periodo di conservazione del backup.

## [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
<a name="documentdb-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se uno snapshot manuale del cluster di Amazon DocumentDB è pubblico. Il controllo fallisce se lo snapshot manuale del cluster è pubblico.

Uno snapshot manuale del cluster di Amazon DocumentDB non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, lo snapshot è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.

**Nota**  
Questo controllo valuta le istantanee manuali del cluster. Non puoi condividere uno snapshot del cluster automatizzato di Amazon DocumentDB. Tuttavia, puoi creare uno snapshot manuale copiando lo snapshot automatico e quindi condividerlo.

### Correzione
<a name="documentdb-3-remediation"></a>

*Per rimuovere l'accesso pubblico agli snapshot manuali dei cluster di Amazon DocumentDB, consulta [Sharing a snapshot nella Amazon DocumentDB Developer](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) Guide.* A livello di codice, puoi utilizzare l'operazione Amazon DocumentDB. `modify-db-snapshot-attribute` Imposta `attribute-name` come e come`restore`. `values-to-remove` `all`

## [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
<a name="documentdb-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon DocumentDB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non pubblica i log di controllo su Logs. CloudWatch 

Amazon DocumentDB (con compatibilità con MongoDB) ti consente di controllare gli eventi che sono stati eseguiti nel tuo cluster. Sono esempi di eventi registrati i tentativi di autenticazione riusciti e non riusciti, l'eliminazione di una raccolta in un database o la creazione di un indice. Per impostazione predefinita, il controllo è disabilitato in Amazon DocumentDB e richiede l'intervento dell'utente per abilitarlo.

### Correzione
<a name="documentdb-4-remediation"></a>

*Per pubblicare i log di audit di Amazon DocumentDB su CloudWatch Logs, consulta [Enabling auditing nella](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) Amazon DocumentDB Developer Guide.*

## [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
<a name="documentdb-5"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon DocumentDB ha la protezione da eliminazione abilitata. Il controllo fallisce se nel cluster non è abilitata la protezione da eliminazione.

L'attivazione della protezione dall'eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Amazon DocumentDB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo. La protezione da eliminazione è abilitata per impostazione predefinita quando crei un cluster nella console Amazon DocumentDB.

### Correzione
<a name="documentdb-5-remediation"></a>

*Per abilitare la protezione da eliminazione per un cluster Amazon DocumentDB esistente, consulta [Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) Guide.* **Nella sezione **Modifica cluster**, scegli **Abilita** la protezione da eliminazione.**

## [DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
<a name="documentdb-6"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:**`excludeTlsParameters`:`disabled`, `enabled` (non personalizzabile)

Questo controllo verifica se un cluster Amazon DocumentDB richiede TLS per le connessioni al cluster. Il controllo fallisce se il gruppo di parametri del cluster associato al cluster non è sincronizzato o se il parametro del cluster TLS è impostato su o. `disabled` `enabled`

Puoi utilizzare TLS per crittografare la connessione tra un'applicazione e un cluster Amazon DocumentDB. L'uso di TLS può aiutare a proteggere i dati dall'intercettazione mentre sono in transito tra un'applicazione e un cluster Amazon DocumentDB. La crittografia in transito per un cluster Amazon DocumentDB viene gestita utilizzando il parametro TLS nel gruppo di parametri del cluster associato al cluster. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Consigliamo di utilizzare i seguenti parametri TLS:`tls1.2+`, `tls1.3+` e. `fips-140-3`

### Correzione
<a name="documentdb-6-remediation"></a>

Per informazioni sulla modifica delle impostazioni TLS per un cluster Amazon DocumentDB, [consulta Encrypting data in transit nella](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) Amazon *DocumentDB* Developer Guide.

# Controlli CSPM del Security Hub per DynamoDB
<a name="dynamodb-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon DynamoDB. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
<a name="dynamodb-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::DynamoDB::Table`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati validi | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Numero minimo di unità di capacità di lettura assegnate per la scalabilità automatica di DynamoDB  |  Numero intero  |  `1` Da a `40000`  |  Nessun valore predefinito  | 
|  `targetReadUtilization`  |  Percentuale di utilizzo prevista per la capacità di lettura  |  Numero intero  |  `20` Da a `90`  |  Nessun valore predefinito  | 
|  `minProvisionedWriteCapacity`  |  Numero minimo di unità di capacità di scrittura assegnate per la scalabilità automatica di DynamoDB  |  Numero intero  |  `1` Da a `40000`  |  Nessun valore predefinito  | 
|  `targetWriteUtilization`  |  Percentuale di utilizzo prevista per la capacità di scrittura  |  Numero intero  |  `20` Da a `90`  |  Nessun valore predefinito  | 

Questo controllo verifica se una tabella Amazon DynamoDB è in grado di scalare la propria capacità di lettura e scrittura in base alle esigenze. Il controllo fallisce se la tabella non utilizza la modalità di capacità su richiesta o la modalità provisioning con scalabilità automatica configurata. Per impostazione predefinita, questo controllo richiede solo la configurazione di una di queste modalità, indipendentemente da livelli specifici di capacità di lettura o scrittura. Facoltativamente, è possibile fornire valori di parametri personalizzati per richiedere livelli specifici di capacità di lettura e scrittura o di utilizzo del target.

La scalabilità della capacità in base alla domanda evita le eccezioni di limitazione, il che aiuta a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB che utilizzano la modalità di capacità su richiesta sono limitate solo dalle quote di tabella predefinite del throughput di DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza a. Supporto Le tabelle DynamoDB che utilizzano la modalità provisioning con scalabilità automatica regolano la capacità di throughput assegnata in modo dinamico in risposta ai modelli di traffico. *Per ulteriori informazioni sulla limitazione delle richieste di DynamoDB, [consulta Request throttling and burst capacity nella Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) Developer Guide.*

### Correzione
<a name="dynamodb-1-remediation"></a>

*Per abilitare la scalabilità automatica di DynamoDB su tabelle esistenti in modalità capacità, consulta Enabling [DynamoDB auto scaling su tabelle esistenti nella Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable).*

## [DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time
<a name="dynamodb-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria**: Ripristino > Resilienza > Backup abilitati

**Gravità:** media

**Tipo di risorsa:** `AWS::DynamoDB::Table`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il point-in-time ripristino (PITR) è abilitato per una tabella Amazon DynamoDB.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il ripristino point-in-time DynamoDB automatizza i backup per le tabelle DynamoDB. Riduce i tempi di ripristino in seguito a operazioni di cancellazione o scrittura accidentali. Le tabelle DynamoDB con PITR abilitato possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.

### Correzione
<a name="dynamodb-2-remediation"></a>

*Per ripristinare una tabella DynamoDB in un momento specifico, consulta [Restoring a DynamoDB table to a point-in-time nella Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*

## [DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
<a name="dynamodb-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::DAX::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato a riposo. Il controllo fallisce se il cluster DAX non è crittografato a riposo.

La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.

### Correzione
<a name="dynamodb-3-remediation"></a>

Non è possibile abilitare o disabilitare la crittografia a riposo dopo la creazione di un cluster. È necessario ricreare il cluster per abilitare la crittografia a riposo. Per istruzioni dettagliate su come creare un cluster DAX con la crittografia a riposo abilitata, consulta [Enabling encryption at rest using the Console di gestione AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) nella *Amazon DynamoDB Developer Guide*.

## [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
<a name="dynamodb-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria**: Ripristino > Resilienza > Backup abilitati

**Gravità:** media

**Tipo di risorsa:** `AWS::DynamoDB::Table`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock.  |  Booleano  |  `true` o `false`  |  Nessun valore predefinito  | 

Questo controllo valuta se una `ACTIVE` tabella Amazon DynamoDB in stato è coperta da un piano di backup. Il controllo fallisce se la tabella DynamoDB non è coperta da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se viene eseguito il backup della tabella DynamoDB in AWS Backup un vault bloccato.

AWS Backup è un servizio di backup completamente gestito che consente di centralizzare e automatizzare il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare piani di backup che definiscono i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservare tali backup. L'inclusione delle tabelle DynamoDB nei piani di backup consente di proteggere i dati da perdite o cancellazioni involontarie.

### Correzione
<a name="dynamodb-4-remediation"></a>

*Per aggiungere una tabella DynamoDB a AWS Backup un piano di backup, [consulta Assegnazione di risorse a un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) nella Developer Guide.AWS Backup *

## [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate
<a name="dynamodb-5"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::DynamoDB::Table`

**AWS Config regola:** `tagged-dynamodb-table` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una tabella Amazon DynamoDB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la tabella non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="dynamodb-5-remediation"></a>

*Per aggiungere tag a una tabella DynamoDB, [consulta Tagging resources in DynamoDB nella](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) Amazon DynamoDB Developer Guide.*

## [DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
<a name="dynamodb-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::DynamoDB::Table`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una tabella Amazon DynamoDB ha la protezione da eliminazione abilitata. Il controllo fallisce se una tabella DynamoDB non ha la protezione da eliminazione abilitata.

È possibile proteggere una tabella DynamoDB dall'eliminazione accidentale con la proprietà di protezione dall'eliminazione. L'attivazione di questa proprietà per le tabelle aiuta a garantire che le tabelle non vengano eliminate accidentalmente durante le normali operazioni di gestione delle tabelle da parte degli amministratori. Questo aiuta a prevenire interruzioni delle normali operazioni aziendali.

### Correzione
<a name="dynamodb-6-remediation"></a>

Per abilitare la protezione da eliminazione per una tabella DynamoDB, [consulta](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) Using delete protection nella Amazon *DynamoDB* Developer Guide.

## [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
<a name="dynamodb-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7, 3, 3, PCI DSS NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 v4.0.1/4.2.1 NIST.800-53.r5 SC-2

**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::DAX::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato in transito, con il tipo di crittografia degli endpoint impostato su TLS. Il controllo fallisce se il cluster DAX non è crittografato in transito.

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. È necessario consentire solo alle connessioni crittografate tramite TLS di accedere ai cluster DAX. Tuttavia, la crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con la crittografia attivata per comprendere il profilo delle prestazioni e l'impatto del TLS.

### Correzione
<a name="dynamodb-7-remediation"></a>

Non è possibile modificare l'impostazione di crittografia TLS dopo aver creato un cluster DAX. Per crittografare un cluster DAX esistente, crea un nuovo cluster con la crittografia in transito abilitata, trasferisci il traffico dell'applicazione su di esso, quindi elimina il vecchio cluster. Per ulteriori informazioni, consulta [Uso della protezione da eliminazione](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) nella *Guida per gli sviluppatori di Amazon DynamoDB*.

# Controlli CSPM del Security Hub per Amazon EC2
<a name="ec2-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (Amazon EC2). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
<a name="ec2-1"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica 

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo fallisce se gli snapshot di Amazon EBS sono ripristinabili da chiunque.

Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.

### Correzione
<a name="ec2-1-remediation"></a>

Per rendere privata una snapshot EBS pubblica, consulta [Share a snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) nella *Amazon* EC2 User Guide. **Per **Azioni, Modifica le autorizzazioni, scegli Privato**.**

## [EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita
<a name="ec2-2"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, benchmark CIS Foundations v1.2.0/4.3, benchmark CIS Foundations v1.4.0/5.3, benchmark CIS AWS Foundations v3.0.0/5.4,, (21), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (), (21), (4), (5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta 

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo fallisce se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il [gruppo di sicurezza predefinito](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico non intenzionale se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2.

### Correzione
<a name="ec2-2-remediation"></a>

Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta [Creare un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) nella *Amazon VPC User* Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue istanze EC2. Per istruzioni, consulta [Modificare il gruppo di sicurezza di un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) nella Guida per l'*utente di Amazon EC2*.

Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta [Configurare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) nella *Amazon VPC User Guide*.

## [EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo
<a name="ec2-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::Volume`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è destinato a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS dei dati inattivi. La crittografica Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede di creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per la creazione di volumi e istantanee crittografati.

Per ulteriori informazioni sulla crittografia Amazon EBS, consulta [Amazon EBS encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) nella *Amazon EC2* User Guide.

### Correzione
<a name="ec2-3-remediation"></a>

Non esiste un modo diretto per crittografare un volume o uno snapshot non crittografato esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.

Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia Amazon EBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia Amazon EBS e scegliere una chiave simmetrica gestita dal cliente.

*Per ulteriori informazioni, consulta [Creare un volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e [Copiare uno snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) nella Guida per l'utente di Amazon EC2.*

## [EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato
<a name="ec2-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificazione > Inventario

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::Instance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Numero di giorni in cui l'istanza EC2 può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito.  |  Numero intero  |  `1` Da a `365`  |  `30`  | 

Questo controllo verifica se un'istanza Amazon EC2 è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un'istanza EC2 viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub CSPM utilizza un valore predefinito di 30 giorni.

Quando un'istanza EC2 non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti nell'ambiente AWS . Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato inattivo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.

### Correzione
<a name="ec2-4-remediation"></a>

*Per terminare un'istanza EC2 inattiva, consulta [Terminare un'](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console)istanza nella Amazon EC2 User Guide.*

## [EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs
<a name="ec2-6"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.7, benchmark CIS Foundations v1.2.0/2.9, benchmark CIS AWS Foundations v1.4.0/3.9, benchmark CIS AWS Foundations v3.0.0/3.7, NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, nIST.800-171.r2 3.3.1, nIST AWS . IST.800-171.r2 3.13.1, PCI DSS versione 3.2.1/10.3.3 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.6

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::VPC`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `trafficType`: `REJECT` (non personalizzabile)

Questo controllo verifica se i log di flusso di Amazon VPC sono stati trovati e abilitati. VPCs Il tipo di traffico è impostato su. `Reject` Il controllo fallisce se i log di flusso VPC non sono abilitati VPCs nel tuo account.

**Nota**  
Questo controllo non verifica se i log di flusso di Amazon VPC sono abilitati tramite Amazon Security Lake per. Account AWS

Con la funzione VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP che va e viene dalle interfacce di rete nel tuo VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3. 

Security Hub CSPM consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per. VPCs I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.

Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di log, consulta [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella Amazon *VPC* User Guide.

### Correzione
<a name="ec2-6-remediation"></a>

Per creare un log di flusso VPC, consulta [Create a Flow Log](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) nella Amazon *VPC* User Guide. **Dopo aver aperto la console Amazon VPC, scegli Your. VPCs** **Per **Filtro**, scegli **Rifiuta o Tutto**.**

## [EC2.7] La crittografia predefinita di EBS deve essere abilitata
<a name="ec2-7"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), 3, 8 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per i volumi Amazon Elastic Block Store (Amazon EBS). Il controllo fallisce se la crittografia a livello di account non è abilitata per i volumi EBS. 

Quando la crittografia è abilitata per il tuo account, i volumi Amazon EBS e le copie degli snapshot vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta la sezione [Encryption by default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella *Guida per l’utente di Amazon EC2*.

### Correzione
<a name="ec2-7-remediation"></a>

Per configurare la crittografia predefinita per i volumi Amazon EBS, consulta [Encryption by default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella *Amazon EC2* User Guide.

## [EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2
<a name="ec2-8"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS Foundations Benchmark v3.0.0/5.6, (15), ( AWS 7), PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria**: Protezione > Sicurezza di rete

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::Instance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la versione dei metadati dell'istanza EC2 è configurata con Instance Metadata Service versione 2 (). IMDSv2 Il controllo passa se `HttpTokens` è impostato su required for. IMDSv2 Il controllo ha esito negativo se `HttpTokens` è impostato su`optional`.

I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. L'IMDS è collegato localmente a ogni istanza EC2. Funziona su uno speciale indirizzo IP «link local» 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.

La versione 2 dell'IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per tentare di accedere all'IMDS.
+ Apri i firewall delle applicazioni del sito Web
+ Apri proxy inversi
+ Vulnerabilità SSRF (Server-side Request Forgery)
+ Firewall Open Layer 3 e NAT (Network Address Translation)

Security Hub CSPM consiglia di configurare le istanze EC2 con. IMDSv2

### Correzione
<a name="ec2-8-remediation"></a>

Per configurare le istanze EC2 con IMDSv2, consulta il [percorso consigliato per la richiesta IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) nella *Amazon EC2* User Guide.

## [EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4
<a name="ec2-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::Instance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo fallisce se il `publicIp` campo è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli IPv4 indirizzi. 

Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile da Internet. Puoi utilizzare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella tua rete privata connessa.

IPv6 gli indirizzi sono unici a livello globale e quindi sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di IPv6 indirizzamento impostato su false. Per ulteriori informazioni IPv6, consulta la sezione [Indirizzamento IP nel tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) nella Amazon *VPC* User Guide.

Se hai un caso d'uso legittimo per mantenere istanze EC2 con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta l'[AWS Architecture Blog](https://aws.amazon.com/blogs/architecture/) o la serie di video della serie [This Is My](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile) Architecture. AWS 

### Correzione
<a name="ec2-9-remediation"></a>

Utilizza un VPC non predefinito in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.

Quando avvii un'istanza EC2 in un VPC predefinito, a essa viene assegnato un indirizzo IP pubblico. Quando avvii un'istanza EC2 in un VPC non predefinito, la configurazione della sottorete determina se riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove istanze EC2 nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi pubblici. IPv4 

Puoi dissociare un indirizzo IP pubblico assegnato automaticamente dalla tua istanza EC2. Per ulteriori informazioni, [ IPv4 consulta Indirizzi pubblici e nomi host DNS esterni](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) nella Guida per l'utente di *Amazon EC2*.

## [EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2
<a name="ec2-10"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1

**Categoria**: Protezione > Configurazione di rete sicura > Accesso privato API

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::VPC`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** 
+ `serviceName`: `ec2` (non personalizzabile)

Questo controllo verifica se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo fallisce se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2. 

Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Poiché AWS Config Security Hub CSPM non effettua controlli su più account, ne vedrai `FAILED` i risultati condivisi tra VPCs gli account. Security Hub CSPM consiglia di eliminare questi risultati. `FAILED`

Per migliorare il livello di sicurezza del tuo VPC, puoi configurare Amazon EC2 per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere alle operazioni delle API di Amazon EC2 in modo privato. AWS PrivateLink Limita tutto il traffico di rete tra il tuo VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un VPC e un servizio in una regione diversa. In questo modo si evitano chiamate involontarie all'API Amazon EC2 verso altre regioni. 

*Per ulteriori informazioni sulla creazione di endpoint VPC per Amazon EC2, consulta Amazon EC2 [e interfaccia gli endpoint VPC nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) User Guide.*

### Correzione
<a name="ec2-10-remediation"></a>

*Per creare un endpoint di interfaccia verso Amazon EC2 dalla console Amazon VPC, consulta [Creare un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella Guida.AWS PrivateLink * **Per il nome del **servizio**, scegli com.amazonaws. *region*.ec2.**

Puoi anche creare e allegare una policy per gli endpoint al tuo endpoint VPC per controllare l'accesso all'API Amazon EC2. *Per istruzioni sulla creazione di una policy per gli endpoint VPC, consulta [Create an endpoint policy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) nella Amazon EC2 User Guide.*

## [EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs
<a name="ec2-12"></a>

**Requisiti correlati:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8 (1)

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::EIP`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se gli indirizzi IP elastici (EIP) allocati a un VPC sono collegati a istanze EC2 o a interfacce di rete elastiche in uso (). ENIs

Un risultato non riuscito indica che potresti avere EC2 inutilizzato. EIPs

Questo vi aiuterà a mantenere un inventario accurato degli asset EIPs presenti nel vostro ambiente di dati dei titolari di carta (CDE).

### Correzione
<a name="ec2-12-remediation"></a>

Per rilasciare un EIP inutilizzato, consulta [Release an Elastic IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) nella *Amazon EC2* User Guide.

## [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22
<a name="ec2-13"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.2.2, PCI DSS versione 4.0.1/1.3.1 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Tipo di pianificazione:** modifica attivata e periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio SSH, riduce l'esposizione di un server ai rischi.

### Correzione
<a name="ec2-13-remediation"></a>

Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta [Aggiornare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella Guida per l'*utente di Amazon EC2*. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22.

## [EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389
<a name="ec2-14"></a>

Requisiti **correlati**: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS 

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la regola creata è`restricted-rdp`)

**Tipo di pianificazione:** modifica attivata e periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio RDP, riduce l'esposizione di un server ai rischi.

### Correzione
<a name="ec2-14-remediation"></a>

Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta [Aggiornare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) nella *Amazon VPC User Guide*. Dopo aver selezionato un gruppo di sicurezza nella console Amazon VPC, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 3389.

## [EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici
<a name="ec2-15"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 v4.0.1/1.4.4

**Categoria**: Proteggi > Sicurezza di rete

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::Subnet`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una sottorete Amazon Virtual Private Cloud (Amazon VPC) è configurata per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se la sottorete è configurata per l'assegnazione automatica di indirizzi pubblici o. IPv4 IPv6 

Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su `TRUE` per le sottoreti predefinite e `FALSE` per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). `TRUE` Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. `FALSE` Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale.

### Correzione
<a name="ec2-15-remediation"></a>

Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta [Modificare gli attributi di indirizzo IP della sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) nella Amazon *VPC* User Guide.

## [EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse
<a name="ec2-16"></a>

**Requisiti correlati:** NIST.800-53.r5 CM-8 (1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7

**Categoria**: Protezione > Sicurezza di rete

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::NetworkAcl`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se ci sono elenchi di controllo degli accessi alla rete (rete ACLs) non utilizzati nel tuo cloud privato virtuale (VPC). Il controllo fallisce se l'ACL di rete non è associato a una sottorete. Il controllo non genera risultati per un ACL di rete predefinito non utilizzato.

Il controllo verifica la configurazione degli elementi della risorsa `AWS::EC2::NetworkAcl` e determina le relazioni dell'ACL di rete.

Se l'unica relazione è il VPC dell'ACL di rete, il controllo fallisce.

Se sono elencate altre relazioni, il controllo passa.

### Correzione
<a name="ec2-16-remediation"></a>

Per istruzioni sull'eliminazione di un ACL di rete non utilizzato, consulta [Eliminazione di un ACL di rete nella *Amazon* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) User Guide. Non puoi eliminare l'ACL di rete predefinito o un ACL associato alle sottoreti.

## [EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs
<a name="ec2-17"></a>

**Requisiti correlati**: (21) NIST.800-53.r5 AC-4

**Categoria:** Proteggi > Sicurezza di rete

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::Instance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza EC2 utilizza più Elastic Network Interface (ENI) o Elastic Fabric Adapters (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare gli ENI consentiti. Questo controllo fallisce anche se un'istanza EC2 appartenente a un cluster Amazon EKS utilizza più di un ENI. Se le tue istanze EC2 devono avere più istanze ENIs come parte di un cluster Amazon EKS, puoi eliminare tali risultati di controllo.

Più istanze ENIs possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.

### Correzione
<a name="ec2-17-remediation"></a>

Per scollegare un'interfaccia di rete da un'istanza EC2, consulta [Scollegare un'interfaccia di rete da un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) nella *Amazon* EC2 User Guide.

## [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate
<a name="ec2-18"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Elenco delle porte TCP autorizzate  |  IntegerList (minimo 1 elemento e massimo 32 elementi)  |  `1` Da a `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Elenco delle porte UDP autorizzate  |  IntegerList (minimo 1 articolo e massimo 32 articoli)  |  `1` Da a `65535`  |  Nessun valore predefinito  | 

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:
+ Se si utilizza il valore predefinito per`authorizedTcpPorts`, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.
+ Se fornisci valori personalizzati per `authorizedTcpPorts` o`authorizedUdpPorts`, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso. AWS Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, denial-of-service attacchi e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.

### Correzione
<a name="ec2-18-remediation"></a>

Per modificare un gruppo di sicurezza, consulta [Work with security groups](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) nella *Amazon VPC User* Guide.

## [EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
<a name="ec2-19"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

**Categoria**: Proteggi > Accesso limitato alla rete

**Severità:** critica

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la regola creata è`vpc-sg-restricted-common-ports`)

**Tipo di pianificazione:** modifica attivata e periodica

**Parametri:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (non personalizzabile)

Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza Amazon EC2 è accessibile alle porte specificate considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0.0/0' o ': :/0' verso tali porte.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi e perdita di dati. denial-of-service Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso alle seguenti porte:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 10 () POP3
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIF)
+ 1433, 1434 (SQL)
+ 3000 (framework di sviluppo web Go, Node.js e Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (framework di sviluppo web in Python)
+ 5432 (postgresql)
+ 5500 (1) fcp-addr-srvr 
+ 5601 (Cruscotti) OpenSearch 
+ 8080 (proxy)
+ 8088 (porta HTTP precedente)
+ 8888 (porta HTTP alternativa)
+ 9200 o 9300 () OpenSearch

### Correzione
<a name="ec2-19-remediation"></a>

Per eliminare le regole da un gruppo di sicurezza, consulta [Eliminare le regole da un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) nella Guida per l'*utente di Amazon EC2*.

## [EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi
<a name="ec2-20"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, NIST.800-171.r2 3.1.20

**Categoria**: Recupero > Resilienza > Alta disponibilità

**Gravità:** media 

**Tipo di risorsa:** `AWS::EC2::VPNConnection`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Un tunnel VPN è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o dall' AWS interno di una connessione AWS Site-to-Site VPN. Ogni connessione VPN include due tunnel VPN che è possibile utilizzare contemporaneamente per una disponibilità elevata. Garantire che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPC e la rete remota.

Questo controllo verifica che entrambi i tunnel VPN forniti dalla AWS Site-to-Site VPN abbiano lo stato UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato INATTIVO.

### Correzione
<a name="ec2-20-remediation"></a>

Per modificare le opzioni del tunnel VPN, consulta [Modificare le opzioni del tunnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) nella Guida per l'utente AWS Site-to-Site VPN.

## [EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389
<a name="ec2-21"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/5.2, benchmark CIS AWS Foundations versione 1.4.0/5.1, benchmark CIS AWS Foundations versione 3.0.0/5.1, (21), (21), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 CA-9 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS 4,0,1/1,31 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura

**Gravità:** media 

**Tipo di risorsa:** `AWS::EC2::NetworkAcl`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una lista di controllo degli accessi alla rete (Network ACL) consente l'accesso illimitato alle porte TCP predefinite per il traffico in ingresso. SSH/RDP Il controllo fallisce se la voce ACL di rete in ingresso consente un blocco CIDR di origine di '0.0.0.0/0' o ': :/0' per le porte TCP 22 o 3389. Il controllo non genera risultati per un ACL di rete predefinito.

L'accesso alle porte di amministrazione del server remoto, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse all'interno del tuo VPC.

### Correzione
<a name="ec2-21-remediation"></a>

Per modificare le regole del traffico ACL di rete, consulta [Work with network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) nella *Amazon VPC* User Guide.

## [EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
<a name="ec2-22"></a>

**Categoria:** Identificazione > Inventario

**Gravità:** media 

**Tipo di risorsa:,** `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un'istanza Amazon EC2 o a un'interfaccia di rete elastica.

**Importante**  
Il 20 settembre 2023, Security Hub CSPM ha rimosso questo controllo dagli standard AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Questo controllo continua a far parte dello standard di gestione dei servizi. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2, come EC2.2, EC2.13, EC2.14, EC2.18 ed EC2.19, per monitorare i tuoi gruppi di sicurezza.

### Correzione
<a name="ec2-22-remediation"></a>

Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per le istanze EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) nella *Amazon* EC2 User Guide.

## [EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC
<a name="ec2-23"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 NIST.800-53.r5 CA-9 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta 

**Tipo di risorsa:** `AWS::EC2::TransitGateway`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i gateway di transito EC2 accettano automaticamente allegati VPC condivisi. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di allegati VPC condivise.

L'attivazione `AutoAcceptSharedAttachments` configura un gateway di transito per accettare automaticamente qualsiasi richiesta di allegati VPC tra account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di allegati VPC autorizzate.

### Correzione
<a name="ec2-23-remediation"></a>

Per modificare un gateway di transito, consulta [Modificare un gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) nella Amazon VPC Developer Guide.

## [EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
<a name="ec2-24"></a>

**Requisiti correlati:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media 

**Tipo di risorsa:** `AWS::EC2::Instance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il tipo di virtualizzazione di un'istanza EC2 è paravirtuale. Il controllo fallisce se l'istanza EC2 è `virtualizationType` impostata su. `paravirtual`

Linux Amazon Machine Images (AMIs) utilizza uno dei due tipi di virtualizzazione: paravirtuale (PV) o macchina virtuale hardware (HVM). Le principali differenze tra PV e HVM AMIs sono il modo in cui si avviano e se possono sfruttare estensioni hardware speciali (CPU, rete e storage) per prestazioni migliori.

Storicamente, gli ospiti PV avevano prestazioni migliori rispetto agli ospiti HVM in molti casi, ma a causa dei miglioramenti nella virtualizzazione HVM e della disponibilità di driver FV per HVM, questo non è più vero. AMIs Per ulteriori informazioni, consulta i [tipi di virtualizzazione delle AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) nella Guida per l'utente di Amazon EC2.

### Correzione
<a name="ec2-24-remediation"></a>

Per aggiornare un'istanza EC2 a un nuovo tipo di istanza, consulta [Cambia il tipo di istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) nella *Amazon EC2* User Guide.

## [EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche
<a name="ec2-25"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta 

**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i modelli di lancio di Amazon EC2 sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di avvio EC2 è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.

Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai tuoi carichi di lavoro.

### Correzione
<a name="ec2-25-remediation"></a>

Per aggiornare un modello di lancio EC2, consulta [Modifica delle impostazioni dell'interfaccia di rete predefinita](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) nella *Amazon EC2 Auto* Scaling User Guide.

## [EC2.28] I volumi EBS devono essere coperti da un piano di backup
<a name="ec2-28"></a>

**Categoria:** Recover > Resilience > Backup abilitati

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::Volume`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock.  |  Booleano  |  `true` o `false`  |  Nessun valore predefinito  | 

Questo controllo valuta se un volume Amazon EBS in `in-use` stato è coperto da un piano di backup. Il controllo fallisce se un volume EBS non è coperto da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se viene eseguito il backup del volume EBS in un vault AWS Backup bloccato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione dei volumi Amazon EBS in un piano di backup aiuta a proteggere i dati da perdite o eliminazioni involontarie.

### Correzione
<a name="ec2-28-remediation"></a>

Per aggiungere un volume Amazon EBS a un piano di AWS Backup backup, consulta [Assegnazione di risorse a un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) nella *AWS Backup Developer* Guide.

## [EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati
<a name="ec2-33"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config regola:** `tagged-ec2-transitgatewayattachment` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un allegato del gateway di transito Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-33-remediation"></a>

Per aggiungere tag a un allegato del gateway di transito EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.

## [EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate
<a name="ec2-34"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config regola:** `tagged-ec2-transitgatewayroutetable` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una tabella di routing del gateway di transito Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se la tabella delle rotte del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-34-remediation"></a>

Per aggiungere tag a una tabella di routing del gateway di transito EC2, consulta [Etichettare le risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.

## [EC2.35] Le interfacce di rete EC2 devono essere etichettate
<a name="ec2-35"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::NetworkInterface`

**AWS Config regola:** `tagged-ec2-networkinterface` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'interfaccia di rete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-35-remediation"></a>

Per aggiungere tag a un'interfaccia di rete EC2, consulta Etichettare [le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.36] I gateway per i clienti EC2 devono essere etichettati
<a name="ec2-36"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::CustomerGateway`

**AWS Config regola:** `tagged-ec2-customergateway` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gateway per clienti Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-36-remediation"></a>

Per aggiungere tag a un gateway clienti EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati
<a name="ec2-37"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::EIP`

**AWS Config regola:** `tagged-ec2-eip` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un indirizzo IP elastico di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-37-remediation"></a>

Per aggiungere tag a un indirizzo IP elastico EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.38] Le istanze EC2 devono essere etichettate
<a name="ec2-38"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::Instance`

**AWS Config regola:** `tagged-ec2-instance` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'istanza Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-38-remediation"></a>

Per aggiungere tag a un'istanza EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.39] I gateway Internet EC2 devono essere etichettati
<a name="ec2-39"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::InternetGateway`

**AWS Config regola:** `tagged-ec2-internetgateway` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gateway Internet Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-39-remediation"></a>

Per aggiungere tag a un gateway Internet EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.40] I gateway NAT EC2 devono essere etichettati
<a name="ec2-40"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::NatGateway`

**AWS Config regola:** `tagged-ec2-natgateway` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gateway NAT (Network Address Translation) di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway NAT non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway NAT non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-40-remediation"></a>

Per aggiungere tag a un gateway NAT EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.

## [EC2.41] La rete EC2 deve essere etichettata ACLs
<a name="ec2-41"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::NetworkAcl`

**AWS Config regola:** `tagged-ec2-networkacl` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una lista di controllo degli accessi alla rete di Amazon EC2 (Network ACL) contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'ACL di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ACL di rete non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-41-remediation"></a>

Per aggiungere tag a un ACL di rete EC2, consulta Etichettare [le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.

## [EC2.42] Le tabelle di routing EC2 devono essere etichettate
<a name="ec2-42"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::RouteTable`

**AWS Config regola:** `tagged-ec2-routetable` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una tabella di routing di Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-42-remediation"></a>

Per aggiungere tag a una tabella di routing EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.

## [EC2.43] I gruppi di sicurezza EC2 devono essere etichettati
<a name="ec2-43"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**AWS Config regola:** `tagged-ec2-securitygroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-43-remediation"></a>

Per aggiungere tag a un gruppo di sicurezza EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.44] Le sottoreti EC2 devono essere etichettate
<a name="ec2-44"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::Subnet`

**AWS Config regola:** `tagged-ec2-subnet` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una sottorete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la sottorete non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-44-remediation"></a>

Per aggiungere tag a una sottorete EC2, consulta [Tagga le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.

## [EC2.45] I volumi EC2 devono essere etichettati
<a name="ec2-45"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::Volume`

**AWS Config regola:** `tagged-ec2-volume` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un volume Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il volume non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-45-remediation"></a>

Per aggiungere tag a un volume EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.

## [EC2.46] Amazon VPCs dovrebbe essere taggato
<a name="ec2-46"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::VPC`

**AWS Config regola:** `tagged-ec2-vpc` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un Amazon Virtual Private Cloud (Amazon VPC) ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-46-remediation"></a>

Per aggiungere tag a un VPC, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.

## [EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
<a name="ec2-47"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::VPCEndpointService`

**AWS Config regola:** `tagged-ec2-vpcendpointservice` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un servizio endpoint Amazon VPC dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-47-remediation"></a>

*Per aggiungere tag a un servizio endpoint Amazon VPC, consulta [Manage Tags](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) nella sezione [Configura un servizio endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) della Guida.AWS PrivateLink *

## [EC2.48] I log di flusso di Amazon VPC devono essere etichettati
<a name="ec2-48"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::FlowLog`

**AWS Config regola:** `tagged-ec2-flowlog` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un log di flusso Amazon VPC contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-48-remediation"></a>

Per aggiungere tag a un log di flusso di Amazon VPC, consulta Etichettare [un log di flusso](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) nella Amazon *VPC* User Guide.

## [EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
<a name="ec2-49"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::VPCPeeringConnection`

**AWS Config regola:** `tagged-ec2-vpcpeeringconnection` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una connessione peering Amazon VPC ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-49-remediation"></a>

*Per aggiungere tag a una connessione peering Amazon VPC, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*

## [EC2.50] I gateway VPN EC2 devono essere etichettati
<a name="ec2-50"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::VPNGateway`

**AWS Config regola:** `tagged-ec2-vpngateway` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gateway VPN Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway VPN non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway VPN non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-50-remediation"></a>

Per aggiungere tag a un gateway VPN EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *User Guide*.

## [EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata
<a name="ec2-51"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12 r2 3.1.20, PCI DSS versione 4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS Client VPN endpoint ha abilitato la registrazione delle connessioni client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.

Gli endpoint Client VPN consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud (VPC) in. AWS I log di connessione consentono di tracciare l'attività degli utenti sull'endpoint VPN e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il servizio Client VPN ne crea uno per te.

### Correzione
<a name="ec2-51-remediation"></a>

*Per abilitare la registrazione delle connessioni, consulta [Abilitare la registrazione della connessione per un endpoint Client VPN esistente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) nella Guida per l'AWS Client VPN amministratore.*

## [EC2.52] I gateway di transito EC2 devono essere etichettati
<a name="ec2-52"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TransitGateway`

**AWS Config regola:** `tagged-ec2-transitgateway` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un gateway di transito Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ec2-52-remediation"></a>

Per aggiungere tag a un gateway di transito EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.

## [EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server
<a name="ec2-53"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS 

**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versione IP  |  Stringa  |  Non personalizzabile  |  `IPv4`  | 
|  `restrictPorts`  |  Elenco di porte che dovrebbero rifiutare il traffico in ingresso  |  IntegerList  |  Non personalizzabile  |  `22,3389`  | 

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

### Correzione
<a name="ec2-53-remediation"></a>

Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta [Update security group rules](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella *Amazon* EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

## [EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server
<a name="ec2-54"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/5.4, CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS 

**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SecurityGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versione IP  |  Stringa  |  Non personalizzabile  |  `IPv6`  | 
|  `restrictPorts`  |  Elenco di porte che dovrebbero rifiutare il traffico in ingresso  |  IntegerList  |  Non personalizzabile  |  `22,3389`  | 

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

### Correzione
<a name="ec2-54-remediation"></a>

Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta [Update security group rules](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella *Amazon* EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

## [EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
<a name="ec2-55"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Richiesto  | Il nome del servizio valutato dal controllo  | Stringa  | Non personalizzabile  | ecr.api | 
| vpcIds  | Facoltativo  | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC.  | StringList  | Personalizza con uno o più VPC IDs  | Nessun valore predefinito  | 

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per l'API Amazon ECR. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per l'API ECR. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

### Correzione
<a name="ec2-55-remediation"></a>

*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## [EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
<a name="ec2-56"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Richiesto  | Il nome del servizio valutato dal controllo  | Stringa  | Non personalizzabile  | ecr.dkr | 
| vpcIds  | Facoltativo  | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC.  | StringList  | Personalizza con uno o più VPC IDs  | Nessun valore predefinito  | 

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per Docker Registry. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Docker Registry. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

### Correzione
<a name="ec2-56-remediation"></a>

*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## [EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
<a name="ec2-57"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Richiesto  | Il nome del servizio valutato dal controllo  | Stringa  | Non personalizzabile  | ssm | 
| vpcIds  | Facoltativo  | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC.  | StringList  | Personalizza con uno o più VPC IDs  | Nessun valore predefinito  | 

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un'interfaccia per un endpoint VPC. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

### Correzione
<a name="ec2-57-remediation"></a>

*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts
<a name="ec2-58"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Richiesto  | Il nome del servizio valutato dal controllo  | Stringa  | Non personalizzabile  | ssm-contacts | 
| vpcIds  | Facoltativo  | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC.  | StringList  | Personalizza con uno o più VPC IDs  | Nessun valore predefinito  | 

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per Incident Manager Contacts. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager Contacts. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

### Correzione
<a name="ec2-58-remediation"></a>

*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager
<a name="ec2-60"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Richiesto  | Il nome del servizio valutato dal controllo  | Stringa  | Non personalizzabile  | ssm-incidents | 
| vpcIds  | Facoltativo  | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC.  | StringList  | Personalizza con uno o più VPC IDs  | Nessun valore predefinito  | 

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

### Correzione
<a name="ec2-60-remediation"></a>

*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## [EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2
<a name="ec2-170"></a>

**Requisiti correlati**: PCI DSS v4.0.1/2.2.6

**Categoria**: Proteggi > Sicurezza di rete

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 è configurato con Instance Metadata Service versione 2 (). IMDSv2 Il controllo fallisce se `HttpTokens` è impostato su. `optional`

L'esecuzione delle risorse sulle versioni software supportate garantisce prestazioni ottimali, sicurezza e accesso alle funzionalità più recenti. Gli aggiornamenti regolari proteggono dalle vulnerabilità, il che aiuta a garantire un'esperienza utente stabile ed efficiente.

### Correzione
<a name="ec2-170-remediation"></a>

*Per richiedere IMDSv2 su un modello di lancio EC2, consulta [Configura le opzioni del servizio di metadati dell'istanza nella Amazon EC2 User](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) Guide.*

## [EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
<a name="ec2-171"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::VPNConnection`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una connessione AWS Site-to-Site VPN ha Amazon CloudWatch Logs abilitato per entrambi i tunnel. Il controllo fallisce se una connessione Site-to-Site VPN non ha CloudWatch i log abilitati per entrambi i tunnel.

AWS Site-to-Site I log VPN ti offrono una visibilità più approfondita sulle tue Site-to-Site implementazioni VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Site-to-Site I log VPN possono essere pubblicati in CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.

### Correzione
<a name="ec2-171-remediation"></a>

*Per abilitare la registrazione del tunnel su una connessione VPN EC2, consulta [i log AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) nella Guida per l'utente della AWS Site-to-Site VPN.*

## [EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet
<a name="ec2-172"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config regola:** `ec2-vpc-bpa-internet-gateway-blocked` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Valore stringa della modalità opzioni VPC BPA.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Nessun valore predefinito  | 

Questo controllo verifica se le impostazioni di Amazon EC2 VPC Block Public Access (BPA) sono configurate per bloccare il traffico del gateway Internet per tutti gli Amazon del sistema. VPCs Account AWS Il controllo fallisce se le impostazioni VPC BPA non sono configurate per bloccare il traffico del gateway Internet. Affinché il controllo passi, il VPC BPA `InternetGatewayBlockMode` deve essere impostato su o. `block-bidirectional` `block-ingress` Se `vpcBpaInternetGatewayBlockMode` viene fornito il parametro, il controllo passa solo se il valore VPC BPA per `InternetGatewayBlockMode` corrisponde al parametro.

La configurazione delle impostazioni VPC BPA per il tuo account consente di impedire alle risorse e alle sottoreti di tua proprietà VPCs in quella regione di raggiungere o essere raggiunte da Internet tramite gateway Internet e gateway Internet solo in uscita. Regione AWS Se hai bisogno di sottoreti specifiche VPCs per poter raggiungere o essere raggiungibile da Internet, puoi escluderle configurando le esclusioni VPC BPA. Per istruzioni su come creare ed eliminare esclusioni, consulta [Creare ed eliminare esclusioni](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) nella Amazon *VPC* User Guide.

### Correzione
<a name="ec2-172-remediation"></a>

*Per abilitare il BPA bidirezionale a livello di account, consulta [Abilita la modalità bidirezionale BPA per il tuo account nella](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Amazon VPC User Guide.* Per abilitare il BPA solo in ingresso, consulta Modificare la modalità [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) BPA in solo ingresso. Per abilitare VPC BPA a livello di organizzazione, consulta Abilitare [VPC BPA](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) a livello di organizzazione.

## [EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati
<a name="ec2-173"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::SpotFleet`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una richiesta Amazon EC2 Spot Fleet che specifica i parametri di avvio è configurata per abilitare la crittografia per tutti i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze EC2. Il controllo fallisce se la richiesta Spot Fleet specifica i parametri di avvio e non abilita la crittografia per uno o più volumi EBS specificati nella richiesta.

Per un ulteriore livello di sicurezza, è necessario abilitare la crittografia per i volumi Amazon EBS. Le operazioni di crittografia vengono quindi eseguite sui server che ospitano le istanze Amazon EC2, il che aiuta a garantire la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage EBS collegato. La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle tue istanze EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS viene utilizzata AWS KMS keys durante la creazione di volumi crittografati.

**Note**  
Questo controllo non genera risultati per le richieste di Amazon EC2 Spot Fleet che utilizzano modelli di lancio. Inoltre, non genera risultati per le richieste Spot Fleet che non specificano esplicitamente un valore per il `encrypted` parametro.

### Correzione
<a name="ec2-173-remediation"></a>

Non esiste un modo diretto per crittografare un volume Amazon EBS esistente e non crittografato. Puoi crittografare un nuovo volume solo quando lo crei.

Tuttavia, se abiliti la crittografia per impostazione predefinita, Amazon EBS crittografa i nuovi volumi utilizzando la tua chiave predefinita per la crittografia EBS. Se non abiliti la crittografia per impostazione predefinita, puoi abilitarla quando crei un singolo volume. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia EBS e scegliere una chiave gestita dal cliente. AWS KMS key Per ulteriori informazioni sulla crittografia EBS, consulta [Amazon EBS encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Amazon EBS* User Guide.

Per informazioni sulla creazione di una richiesta Amazon EC2 Spot Fleet, consulta [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) nella *Amazon Elastic Compute Cloud User Guide*.

## [EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
<a name="ec2-174"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::DHCPOptions`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un set di opzioni DHCP di Amazon EC2 ha le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo fallisce se il set di opzioni non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'insieme di opzioni non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-174-remediation"></a>

*Per informazioni sull'aggiunta di tag a un set di opzioni DHCP di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*

## [EC2.175] I modelli di lancio di EC2 devono essere etichettati
<a name="ec2-175"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un modello di lancio di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il modello di lancio non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di avvio non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-175-remediation"></a>

Per informazioni sull'aggiunta di tag a un modello di lancio di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.

## [EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
<a name="ec2-176"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::PrefixList`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un elenco di prefissi Amazon EC2 contiene le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo ha esito negativo se l'elenco dei prefissi non contiene alcuna chiave di tag o non contiene tutte le chiavi specificate dal parametro. `requiredKeyTags` Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'elenco dei prefissi non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-176-remediation"></a>

*Per informazioni sull'aggiunta di tag a un elenco di prefissi Amazon EC2, consulta [Tagga le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*

## [EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate
<a name="ec2-177"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TrafficMirrorSession`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se una sessione di Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la sessione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sessione non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-177-remediation"></a>

Per informazioni sull'aggiunta di tag a una sessione di Traffic Mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.

## [EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
<a name="ec2-178"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TrafficMirrorFilter`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un filtro Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il filtro non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-178-remediation"></a>

Per informazioni sull'aggiunta di tag a un filtro Traffic Mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.

## [EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
<a name="ec2-179"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EC2::TrafficMirrorTarget`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un target del Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la destinazione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la destinazione non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ec2-179-remediation"></a>

Per informazioni sull'aggiunta di tag a un target di traffico mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.

## [EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination
<a name="ec2-180"></a>

**Categoria: Proteggi > Sicurezza** di rete

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::NetworkInterface`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il source/destination controllo è abilitato per un'interfaccia di rete elastica (ENI) di Amazon EC2 gestita dagli utenti. Il controllo fallisce se il source/destination controllo è disabilitato per l'ENI gestito dall'utente. Questo controllo verifica solo i seguenti tipi di ENIs:`aws_codestar_connections_managed`,`branch`,`efa`, `interface``lambda`, e`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationconvalida degli indirizzi, che garantisce che un'istanza sia l'origine o la destinazione di tutto il traffico che riceve. Ciò fornisce un ulteriore livello di sicurezza della rete impedendo alle risorse di gestire traffico involontario e prevenendo lo spoofing degli indirizzi IP.

**Nota**  
[Se utilizzi un'istanza EC2 come istanza NAT e hai disabilitato il source/destination controllo dell'ENI, puoi invece utilizzare un gateway NAT.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)

### Correzione
<a name="ec2-180-remediation"></a>

Per informazioni sull'abilitazione source/destination dei controlli per un Amazon EC2 ENI, consulta [Modificare gli attributi dell'interfaccia di rete](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) nella *Amazon EC2* User Guide.

## [EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati
<a name="ec2-181"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 abilita la crittografia per tutti i volumi EBS collegati. Il controllo fallisce se il parametro di crittografia è impostato su qualsiasi volume EBS specificato dal modello di lancio EC2. `False`

La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle istanze Amazon EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS AWS KMS keys viene utilizzata durante la creazione di volumi e istantanee crittografati. Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, il che aiuta a garantire la sicurezza dei dati inattivi e dei dati in transito tra un'istanza EC2 e lo storage EBS collegato. Per ulteriori informazioni, consulta [Crittografia Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Guida per l'utente di Amazon EBS*.

Puoi abilitare la crittografia EBS durante gli avvii manuali di singole istanze EC2. Tuttavia, ci sono diversi vantaggi nell'utilizzare i modelli di avvio EC2 e nella configurazione delle impostazioni di crittografia in tali modelli. È possibile applicare la crittografia come standard e garantire l'uso di impostazioni di crittografia coerenti. È inoltre possibile ridurre il rischio di errori e lacune di sicurezza che potrebbero verificarsi con l'avvio manuale delle istanze.

**Nota**  
Quando questo controllo verifica un modello di avvio EC2, valuta solo le impostazioni di crittografia EBS specificate esplicitamente dal modello. La valutazione non include le impostazioni di crittografia ereditate dalle impostazioni di crittografia EBS a livello di account, dalle mappature dei dispositivi a blocchi AMI o dagli stati di crittografia degli snapshot di origine.

### Correzione
<a name="ec2-181-remediation"></a>

Dopo aver creato un modello di lancio di Amazon EC2, non puoi modificarlo. Tuttavia, puoi creare una nuova versione di un modello di lancio e modificare le impostazioni di crittografia in quella nuova versione del modello. Puoi anche specificare la nuova versione come versione predefinita del modello di lancio. Quindi, se avvii un'istanza EC2 da un modello di avvio e non specifichi una versione del modello, EC2 utilizza le impostazioni della versione predefinita quando avvia l'istanza. Per ulteriori informazioni, consulta [Modificare un modello di lancio](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) nella *Amazon EC2 User Guide*.

## [EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico
<a name="ec2-182"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::EC2::SnapshotBlockPublicAccess`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Il controllo verifica se il blocco dell'accesso pubblico è abilitato per bloccare tutte le condivisioni di snapshot di Amazon EBS. Il controllo fallisce se il blocco dell'accesso pubblico non è abilitato per bloccare tutte le condivisioni per tutte le istantanee di Amazon EBS.

Per impedire la condivisione pubblica degli snapshot di Amazon EBS, puoi abilitare l'accesso pubblico a blocchi per gli snapshot. Una volta abilitato l'accesso pubblico a blocchi per le istantanee in una regione, qualsiasi tentativo di condividere pubblicamente le istantanee in quella regione viene automaticamente bloccato. Questo aiuta a migliorare la sicurezza delle istantanee e a proteggere i dati delle istantanee da accessi non autorizzati o non intenzionali. 

### Correzione
<a name="ec2-182-remediation"></a>

Per abilitare l'accesso pubblico a blocchi per gli snapshot, consulta [Configurare l'accesso pubblico a blocchi per gli snapshot di Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) nella *Amazon EBS* User Guide. Per **Blocca l'accesso pubblico**, scegli **Blocca** tutti gli accessi pubblici.

# Controlli CSPM di Security Hub per Auto Scaling
<a name="autoscaling-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse EC2 di Amazon Auto Scaling.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB
<a name="autoscaling-1"></a>

**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 SI-2 NIST.800-53.r5 CA-7

**Categoria:** Identificazione > Inventario

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling associato a un sistema di bilanciamento del carico utilizza i controlli di integrità Elastic Load Balancing (ELB). Il controllo fallisce se il gruppo Auto Scaling non utilizza i controlli di integrità ELB.

I controlli di integrità ELB aiutano a garantire che un gruppo di Auto Scaling possa determinare lo stato di un'istanza sulla base di test aggiuntivi forniti dal sistema di bilanciamento del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing aiuta anche a supportare la disponibilità delle applicazioni che utilizzano i gruppi di Auto EC2 Scaling.

### Correzione
<a name="autoscaling-1-remediation"></a>

Per aggiungere i controlli di integrità di Elastic Load Balancing, consulta [Add Elastic Load Balancing health](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) check nella Amazon *Auto EC2 Scaling* User Guide.

## [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
<a name="autoscaling-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Numero minimo di zone di disponibilità  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling copre almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un gruppo Auto Scaling non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs

Un gruppo di Auto Scaling che non si estende su più aree non AZs può avviare istanze in un'altra zona per compensare l'eventuale indisponibilità della singola AZ configurata. Tuttavia, un gruppo di Auto Scaling con una singola zona di disponibilità può essere preferito in alcuni casi d'uso, come i lavori in batch o quando i costi di trasferimento tra le AZ devono essere ridotti al minimo. In questi casi, è possibile disabilitare questo controllo o eliminarne i risultati. 

### Correzione
<a name="autoscaling-2-remediation"></a>

Per aggiungere AZs a un gruppo Auto Scaling esistente, consulta [Aggiungere e rimuovere zone di disponibilità](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) nella *Amazon Auto EC2 Scaling* User Guide.

## [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2
<a name="autoscaling-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AC-3 NIST.800-53.r5 NIST.800-53.r5 AC-6 CM-2, PCI DSS v4.0.1/2.2.6

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se IMDSv2 è abilitato su tutte le istanze avviate dai gruppi Amazon EC2 Auto Scaling. Il controllo fallisce se la versione di Instance Metadata Service (IMDS) non è inclusa nella configurazione di avvio o è configurata come`token optional`, ovvero un'impostazione che consente o. IMDSv1 IMDSv2

IMDS fornisce dati sull'istanza che puoi utilizzare per configurare o gestire l'istanza in esecuzione.

La versione 2 dell'IMDS aggiunge nuove protezioni che non erano disponibili IMDSv1 per proteggere ulteriormente le istanze. EC2 

### Correzione
<a name="autoscaling-3-remediation"></a>

Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo Auto Scaling, utilizzate una configurazione di avvio esistente come base per una nuova configurazione di avvio con IMDSv2 enabled. Per ulteriori informazioni, consulta [Configurare le opzioni dei metadati delle istanze per le nuove istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) nella *Amazon EC2 User Guide*.

## [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1
<a name="autoscaling-4"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica il numero di hop di rete che un token di metadati può percorrere. Il controllo ha esito negativo se il limite dell'hop di risposta ai metadati è maggiore di. `1`

L'Instance Metadata Service (IMDS) fornisce informazioni sui metadati su un' EC2 istanza Amazon ed è utile per la configurazione delle applicazioni. La limitazione della `PUT` risposta HTTP per il servizio di metadati alla sola EC2 istanza protegge l'IMDS dall'uso non autorizzato.

Il campo Time To Live (TTL) nel pacchetto IP viene ridotto di uno per ogni hop. Questa riduzione può essere utilizzata per garantire che il pacchetto non viaggi all'esterno. EC2 IMDSv2 protegge EC2 le istanze che potrebbero essere state configurate erroneamente come router aperti, firewall di livello 3, tunnel o dispositivi NAT VPNs, impedendo così agli utenti non autorizzati di recuperare i metadati. Con IMDSv2, la `PUT` risposta che contiene il token segreto non può uscire dall'istanza perché il limite di hop di risposta ai metadati predefinito è impostato su. `1` Tuttavia, se questo valore è maggiore di`1`, il token può lasciare l' EC2 istanza. 

### Correzione
<a name="autoscaling-4-remediation"></a>

Per modificare il limite dell'hop di risposta ai metadati per una configurazione di avvio esistente, consulta [Modificare le opzioni dei metadati dell'istanza per le istanze esistenti](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) nella *Amazon EC2 * User Guide.

## [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici
<a name="autoscaling-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la configurazione di avvio associata a un gruppo di Auto Scaling assegna un [indirizzo IP pubblico](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) alle istanze del gruppo. Il controllo fallisce se la configurazione di avvio associata assegna un indirizzo IP pubblico.

 EC2 Le istanze Amazon in una configurazione di avvio di gruppo Auto Scaling non devono avere un indirizzo IP pubblico associato, tranne in casi limite limitati. EC2 Le istanze Amazon dovrebbero essere accessibili solo da un sistema di bilanciamento del carico anziché essere esposte direttamente a Internet.

### Correzione
<a name="autoscaling-5-remediation"></a>

Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo con scalabilità automatica, utilizza una configurazione di avvio esistente come base per una nuova configurazione. Quindi, aggiorna il gruppo Auto Scaling affinché utilizzi la nuova configurazione di avvio. Per step-by-step istruzioni, consulta [Modificare la configurazione di avvio per un gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) nella *Amazon Auto EC2 Scaling User Guide*. Quando crei la nuova configurazione di avvio, in **Configurazione aggiuntiva**, per **Dettagli avanzati, tipo di indirizzo IP**, scegli **Non assegnare un indirizzo IP pubblico a** nessuna istanza.

Dopo aver modificato la configurazione di avvio, Auto Scaling avvia nuove istanze con le nuove opzioni di configurazione. Le istanze esistenti non sono interessate. Per aggiornare un'istanza esistente, ti consigliamo di aggiornare l'istanza o di consentire il ridimensionamento automatico per sostituire gradualmente le istanze più vecchie con quelle più recenti in base alle tue politiche di terminazione. *Per ulteriori informazioni sull'aggiornamento delle istanze di Auto Scaling, consulta Update Auto [Scaling istances nella Amazon Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) User Guide. EC2 *

## [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità
<a name="autoscaling-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling utilizza più tipi di istanze. Il controllo fallisce se il gruppo Auto Scaling ha un solo tipo di istanza definito.

È possibile aumentare la disponibilità distribuendo l’applicazione su più tipi di istanze in esecuzione in più zone di disponibilità. Security Hub CSPM consiglia di utilizzare più tipi di istanze in modo che il gruppo Auto Scaling possa avviare un altro tipo di istanza se la capacità delle istanze nelle zone di disponibilità scelte è insufficiente.

### Correzione
<a name="autoscaling-6-remediation"></a>

Per creare un gruppo Auto Scaling con più tipi di istanze, consulta [Gruppi di Auto Scaling con più tipi di istanze e opzioni di acquisto](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) nella Amazon *Auto EC2 Scaling* User Guide.

## [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
<a name="autoscaling-9"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling viene creato a partire da un modello di EC2 lancio. Questo controllo fallisce se un gruppo Amazon EC2 Auto Scaling non viene creato con un modello di lancio o se un modello di avvio non è specificato in una politica a istanze miste.

Un gruppo EC2 Auto Scaling può essere creato da un modello di EC2 avvio o da una configurazione di avvio. Tuttavia, l'utilizzo di un modello di avvio per creare un gruppo Auto Scaling garantisce l'accesso alle funzionalità e ai miglioramenti più recenti.

### Correzione
<a name="autoscaling-9-remediation"></a>

Per creare un gruppo Auto Scaling con un modello di EC2 lancio, consulta [Creare un gruppo Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) nella Amazon *Auto EC2 Scaling* User Guide. Per informazioni su come sostituire una configurazione di avvio con un modello di avvio, consulta [Sostituire una configurazione di avvio con un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) nella *Amazon EC2 User Guide*.

## [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
<a name="autoscaling-10"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config regola:** `tagged-autoscaling-autoscalinggroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo Auto Scaling non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo Auto Scaling non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="autoscaling-10-remediation"></a>

Per aggiungere tag a un gruppo di Auto Scaling, consulta [Gruppi e istanze di Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) nella *Amazon EC2 Auto Scaling* User Guide.

# Controlli CSPM del Security Hub per Amazon ECR
<a name="ecr-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Container Registry (Amazon ECR).

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
<a name="ecr-1"></a>

**Requisiti correlati: PCI DSS NIST.800-53.r5 RA-5 v4.0.1/6.2.3**, PCI DSS v4.0.1/6.2.4

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECR::Repository`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se in un repository Amazon ECR privato è configurata la scansione delle immagini. Il controllo fallisce se l'archivio ECR privato non è configurato per la scansione in modalità push o la scansione continua.

La scansione delle immagini ECR aiuta a identificare le vulnerabilità del software nelle immagini dei contenitori. La configurazione della scansione delle immagini negli archivi ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate.

### Correzione
<a name="ecr-1-remediation"></a>

Per configurare la scansione delle immagini per un repository ECR, consulta [Scansione delle immagini](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) nella *Amazon Elastic Container Registry User Guide*.

## [ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
<a name="ecr-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-8 (1)

**Categoria**: Identificazione > Inventario > Etichettatura

**Gravità:** media

**Tipo di risorsa:** `AWS::ECR::Repository`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un repository ECR privato ha l'immutabilità dei tag abilitata. Questo controllo ha esito negativo se in un repository ECR privato l'immutabilità dei tag è disabilitata. Questa regola è valida se l'immutabilità dei tag è abilitata e ha il valore. `IMMUTABLE`

Amazon ECR Tag Immutability consente ai clienti di fare affidamento sui tag descrittivi di un'immagine come meccanismo affidabile per tracciare e identificare in modo univoco le immagini. Un tag immutabile è statico, il che significa che ogni tag fa riferimento a un'immagine unica. Ciò migliora l'affidabilità e la scalabilità poiché l'uso di un tag statico porterà sempre alla distribuzione della stessa immagine. Una volta configurata, l'immutabilità dei tag impedisce che i tag vengano sovrascritti, riducendo la superficie di attacco.

### Correzione
<a name="ecr-2-remediation"></a>

Per creare un repository con tag immutabili configurati o per aggiornare le impostazioni di mutabilità dei tag di immagine per un repository esistente, consulta [Image tag mutability nella](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) *Amazon* Elastic Container Registry User Guide.

## [ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
<a name="ecr-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::ECR::Repository`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un repository Amazon ECR ha almeno una policy del ciclo di vita configurata. Questo controllo fallisce se un repository ECR non ha alcuna politica del ciclo di vita configurata.

Le policy del ciclo di vita di Amazon ECR consentono di specificare la gestione del ciclo di vita delle immagini in un repository. Configurando le politiche del ciclo di vita, è possibile automatizzare la pulizia delle immagini non utilizzate e la scadenza delle immagini in base all'età o al numero di immagini. L'automazione di queste attività può aiutarti a evitare l'uso involontario di immagini obsolete nel tuo repository.

### Correzione
<a name="ecr-3-remediation"></a>

Per configurare una policy del ciclo di vita, consulta [Creating a lifecycle policy preview nella](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) *Amazon Elastic Container* Registry User Guide.

## [ECR.4] Gli archivi pubblici ECR devono essere etichettati
<a name="ecr-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ECR::PublicRepository`

**AWS Config regola:** `tagged-ecr-publicrepository` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un repository pubblico Amazon ECR dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'archivio pubblico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'archivio pubblico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ecr-4-remediation"></a>

Per aggiungere tag a un repository pubblico ECR, consulta [Tagging an Amazon ECR public repository nella Amazon](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) *Elastic* Container Registry User Guide.

## [ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
<a name="ecr-5"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 ( NIST.800-53.r5 SC-26), NIST.800-53.r5 AU-9

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::ECR::Repository`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se un repository ECR non è crittografato con una chiave KMS nell'elenco.  |  StringList (massimo 10 articoli)  |  1—10 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Nessun valore predefinito  | 

Questo controllo verifica se un repository Amazon ECR è crittografato quando è inattivo e gestito da un cliente. AWS KMS key Il controllo fallisce se l'archivio ECR non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS da includere nel controllo nella valutazione.

Per impostazione predefinita, Amazon ECR crittografa i dati del repository con chiavi gestite di Amazon S3 (SSE-S3), utilizzando un algoritmo AES-256. Per un controllo aggiuntivo, puoi configurare Amazon ECR per crittografare i dati con un AWS KMS key (SSE-KMS o DSSE-KMS). La chiave KMS può essere: una Chiave gestita da AWS che Amazon ECR crea e gestisce per te e ha l'alias`aws/ecr`, oppure una chiave gestita dal cliente che crei e gestisci nel tuo. Account AWS Con una chiave KMS gestita dal cliente, hai il pieno controllo della chiave. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave.

**Nota**  
AWS KMS supporta l'accesso multiaccount alle chiavi KMS. Se un archivio ECR è crittografato con una chiave KMS di proprietà di un altro account, questo controllo non esegue controlli tra account quando valuta l'archivio. Il controllo non valuta se Amazon ECR può accedere e utilizzare la chiave durante l'esecuzione di operazioni crittografiche per il repository.

### Correzione
<a name="ecr-5-remediation"></a>

Non è possibile modificare le impostazioni di crittografia per un repository ECR esistente. Tuttavia, è possibile specificare diverse impostazioni di crittografia per gli archivi ECR che verranno creati successivamente. Amazon ECR supporta l'uso di diverse impostazioni di crittografia per singoli repository.

Per ulteriori informazioni sulle opzioni di crittografia per i repository ECR, consulta [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) nella *Amazon ECR* User Guide. *Per ulteriori informazioni sulla gestione dei clienti AWS KMS keys, consulta la Developer [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)Guide.AWS Key Management Service *

# Controlli CSPM del Security Hub per Amazon ECS
<a name="ecs-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Container Service (Amazon ECS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure
<a name="ecs-1"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nel marzo 2026. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md). È possibile fare riferimento ai seguenti controlli per la valutazione della configurazione privilegiata, della configurazione della modalità di rete e della configurazione utente:   
 [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](#ecs-4) 
 [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](#ecs-17) 
 [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](#ecs-20) 
 [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](#ecs-21) 

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `SkipInactiveTaskDefinitions`: `true` (non personalizzabile)

Questo controllo verifica se una definizione di attività Amazon ECS attiva con modalità di rete host dispone di definizioni `privileged` di `user` container. Il controllo ha esito negativo per le definizioni di attività che hanno definizioni di modalità di rete host e contenitore `privileged=false` uguali, vuote e/o vuote. `user=root`

Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Lo scopo di questo controllo è garantire che l'accesso sia definito intenzionalmente quando si eseguono attività che utilizzano la modalità di rete host. Se una definizione di attività ha privilegi elevati, è perché hai scelto quella configurazione. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando la definizione di un'attività ha la rete host abilitata e non si scelgono privilegi elevati.

### Correzione
<a name="ecs-1-remediation"></a>

Per informazioni su come aggiornare una definizione di attività, consulta la sezione [Aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) nella *Amazon Elastic Container Service Developer Guide*.

Quando aggiorni una definizione di attività, non aggiorna le attività in esecuzione che sono state avviate dalla definizione di attività precedente. Per aggiornare un'attività in esecuzione, è necessario ridistribuire l'attività con la nuova definizione di attività.

## [ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
<a name="ecs-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::Service`

**AWS Config regola:** `ecs-service-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se i servizi Amazon ECS sono configurati per assegnare automaticamente indirizzi IP pubblici. Se `AssignPublicIP` lo è, questo controllo fallisce. `ENABLED` Questo controllo viene eseguito se lo `AssignPublicIP` è`DISABLED`.

Un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se avvii le istanze Amazon ECS con un indirizzo IP pubblico, le istanze Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.

### Correzione
<a name="ecs-2-remediation"></a>

**Innanzitutto, è necessario creare una definizione di attività per il cluster che utilizzi la modalità di `awsvpc` rete e specifichi FARGATE per.** `requiresCompatibilities` **Quindi, per la **configurazione di Compute**, scegli **Launch type** e FARGATE.** Infine, per il campo **Rete**, disattivate l'**IP pubblico per disabilitare l'**assegnazione automatica degli IP pubblici per il vostro servizio.

## [ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host
<a name="ecs-3"></a>

**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2

**Categoria**: Identifica > Configurazione delle risorse

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le definizioni delle attività di Amazon ECS sono configurate per condividere lo spazio dei nomi dei processi di un host con i relativi contenitori. Il controllo fallisce se la definizione dell'attività condivide lo spazio dei nomi del processo dell'host con i contenitori in esecuzione su di esso. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Queste circostanze potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. I clienti non devono condividere lo spazio dei nomi dei processi dell'host con i contenitori in esecuzione su di esso.

### Correzione
<a name="ecs-3-remediation"></a>

Per configurare la `pidMode` definizione di un'attività, consulta [i parametri di definizione dell'attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) nella Amazon Elastic Container Service Developer Guide.

## [ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
<a name="ecs-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il `privileged` parametro nella definizione del contenitore di Amazon ECS Task Definitions è impostato `true` su. Il controllo fallisce se questo parametro è uguale a`true`. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege è`true`, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (analogamente all'utente root).

### Correzione
<a name="ecs-4-remediation"></a>

Per configurare il `privileged` parametro su una definizione di attività, consulta [i parametri di definizione avanzata dei container](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) nella Amazon Elastic Container Service Developer Guide.

## [ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root
<a name="ecs-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le definizioni delle attività ECS configurano i contenitori in modo che siano limitati all'accesso in sola lettura ai file system root montati. Il controllo ha esito negativo se il `readonlyRootFilesystem` parametro nelle definizioni dei contenitori della definizione delle attività ECS è impostato su o il parametro non esiste nella definizione del contenitore all'interno della definizione dell'attività. `false` Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Se il `readonlyRootFilesystem` parametro è impostato su `true` in una definizione di attività Amazon ECS, al contenitore ECS viene concesso l'accesso in sola lettura al relativo file system root. Ciò riduce i vettori di attacco alla sicurezza perché il file system root dell'istanza del contenitore non può essere manomesso o scritto senza supporti espliciti di volume con autorizzazioni di lettura/scrittura per cartelle e directory del file system. L'attivazione di questa opzione rispetta anche il principio del privilegio minimo.

**Nota**  
Il `readonlyRootFilesystem` parametro non è supportato per i contenitori Windows. Le definizioni delle attività `runtimePlatform` configurate per specificare una famiglia di `WINDOWS_SERVER` sistemi operativi sono contrassegnate come `NOT_APPLICABLE` e non genereranno risultati per questo controllo. 

### Correzione
<a name="ecs-5-remediation"></a>

Per consentire a un contenitore Amazon ECS l'accesso in sola lettura al relativo file system root, aggiungi il `readonlyRootFilesystem` parametro alla definizione dell'attività per il contenitore e imposta il valore del parametro su. `true` Per informazioni sui parametri di definizione delle attività e su come aggiungerli a una definizione di attività, consulta [le definizioni delle attività di Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) e [l'aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer Guide*.

## [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
<a name="ecs-8"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2

**Categoria**: Protezione > Sviluppo sicuro > Credenziali non codificate

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri`secretKeys`:**`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personalizzabili) 

Questo controllo verifica se il valore chiave di qualsiasi variabile nel `environment` parametro delle definizioni dei contenitori include `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o`ECS_ENGINE_AUTH_DATA`. Questo controllo ha esito negativo se una singola variabile di ambiente in qualsiasi definizione di contenitore è uguale a `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o. `ECS_ENGINE_AUTH_DATA` Questo controllo non copre le variabili ambientali trasmesse da altre postazioni come Amazon S3. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

AWS Systems Manager Parameter Store può aiutarti a migliorare il livello di sicurezza della tua organizzazione. Ti consigliamo di utilizzare Parameter Store per archiviare segreti e credenziali invece di passarli direttamente alle istanze del contenitore o di codificarli nel codice.

### Correzione
<a name="ecs-8-remediation"></a>

Per creare parametri utilizzando SSM, vedere [Creazione dei parametri di Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) nella *Guida per l'AWS Systems Manager utente*. Per ulteriori informazioni sulla creazione di una definizione di attività che specifichi un segreto, consulta [Specificare dati sensibili utilizzando Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) nella *Amazon Elastic Container Service Developer Guide*.

## [ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
<a name="ecs-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**AWS Config regola: ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se l'ultima definizione di attività attiva di Amazon ECS ha una configurazione di registrazione specificata. Il controllo fallisce se la definizione dell'attività non ha la `logConfiguration` proprietà definita o se il valore di `logDriver` è nullo in almeno una definizione di contenitore.

La registrazione aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon ECS. La raccolta di dati dalle definizioni delle attività offre visibilità, che può aiutarti a eseguire il debug dei processi e a trovare la causa principale degli errori. Se si utilizza una soluzione di registrazione che non deve essere definita nella definizione dell'attività ECS (ad esempio una soluzione di registrazione di terze parti), è possibile disabilitare questo controllo dopo aver verificato che i log vengano acquisiti e consegnati correttamente.

### Correzione
<a name="ecs-9-remediation"></a>

Per definire una configurazione di log per le definizioni delle attività di Amazon ECS, consulta [Specificare una configurazione di log nella definizione del task nella](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Amazon Elastic Container Service Developer Guide*.

## [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate
<a name="ecs-10"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::Service`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `latestLinuxVersion: 1.4.0`(non personalizzabile)
+ `latestWindowsVersion: 1.0.0`(non personalizzabile)

Questo controllo verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. Questo controllo fallisce se la versione della piattaforma non è la più recente.

AWS Fargate le versioni della piattaforma si riferiscono a un ambiente di runtime specifico per l'infrastruttura di attività Fargate, che è una combinazione di versioni di runtime del kernel e del container. Le nuove versioni della piattaforma vengono rilasciate man mano che l'ambiente di runtime si evolve. Ad esempio, può essere rilasciata una nuova versione per aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza. Gli aggiornamenti e le patch di sicurezza vengono implementati automaticamente per le attività Fargate. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma, corregge la versione della AWS piattaforma. 

### Correzione
<a name="ecs-10-remediation"></a>

Per aggiornare un servizio esistente, inclusa la versione della piattaforma, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) nella *Amazon Elastic Container Service Developer Guide*.

## [ECS.12] I cluster ECS devono utilizzare Container Insights
<a name="ecs-12"></a>

**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i cluster ECS utilizzano Container Insights. Questo controllo ha esito negativo se Container Insights non è configurato per un cluster.

Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni dei cluster Amazon ECS. Usa CloudWatch Container Insights per raccogliere, aggregare e riepilogare metriche e log delle tue applicazioni e microservizi containerizzati. CloudWatch raccoglie automaticamente le metriche per molte risorse, come CPU, memoria, disco e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights.

### Correzione
<a name="ecs-12-remediation"></a>

Per utilizzare Container Insights, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) nella *Amazon CloudWatch User Guide*.

## [ECS.13] I servizi ECS devono essere etichettati
<a name="ecs-13"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ECS::Service`

**AWS Config regola:** `tagged-ecs-service` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un servizio Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ecs-13-remediation"></a>

Per aggiungere tag a un servizio ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.

## [ECS.14] I cluster ECS devono essere etichettati
<a name="ecs-14"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ECS::Cluster`

**AWS Config regola:** `tagged-ecs-cluster` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un cluster Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ecs-14-remediation"></a>

Per aggiungere tag a un cluster ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.

## [ECS.15] Le definizioni delle attività ECS devono essere contrassegnate
<a name="ecs-15"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**AWS Config regola:** `tagged-ecs-taskdefinition` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una definizione di attività di Amazon ECS contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la definizione dell'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la definizione dell'attività non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ecs-15-remediation"></a>

Per aggiungere tag a una definizione di attività ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.

## [ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
<a name="ecs-16"></a>

**Requisiti correlati**: PCI DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::ECS::TaskSet`

**AWS Config regola:** `ecs-taskset-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un set di attività Amazon ECS è configurato per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se `AssignPublicIP` è impostato su. `ENABLED`

Un indirizzo IP pubblico è raggiungibile da Internet. Se si configura il set di attività con un indirizzo IP pubblico, le risorse associate al set di attività possono essere raggiunte da Internet. I set di attività ECS non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.

### Correzione
<a name="ecs-16-remediation"></a>

Per aggiornare un set di attività ECS in modo che non utilizzi un indirizzo IP pubblico, consulta [Aggiornare una definizione di attività Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer* Guide.

## [ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
<a name="ecs-17"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la modalità di `host` rete. Il controllo fallisce se l'ultima revisione attiva della definizione del task ECS utilizza la modalità di rete. `host`

Quando si utilizza la modalità di `host` rete, la rete di un contenitore Amazon ECS è collegata direttamente all'host sottostante che esegue il contenitore. Di conseguenza, questa modalità consente ai contenitori di connettersi ai servizi di rete di loopback privati sull'host e di impersonare l'host. Altri svantaggi significativi sono che non è possibile rimappare una porta container quando si utilizza la modalità di `host` rete e non è possibile eseguire più di una singola istanza di un'attività su ciascun host.

### Correzione
<a name="ecs-17-remediation"></a>

Per informazioni sulle modalità e le opzioni di rete per le attività di Amazon ECS ospitate su istanze Amazon EC2, consulta le [opzioni di task networking di Amazon ECS per il tipo di lancio EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) nella *Amazon Elastic Container Service Developer Guide*. Per informazioni sulla creazione di una nuova revisione di una definizione di attività e sulla specificazione di una modalità di rete diversa, consulta [Updating an Amazon ECS task definition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) in quella guida.

Se la definizione di attività di Amazon ECS è stata creata da AWS Batch, consulta [Modalità di rete per i AWS Batch lavori per](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) conoscere le modalità di rete e l'utilizzo tipico dei tipi di AWS Batch lavoro e per scegliere un'opzione sicura.

## [ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS
<a name="ecs-18"></a>

**Categoria: Proteggi > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la crittografia in transito per i volumi EFS. Il controllo fallisce se l'ultima revisione attiva della definizione dell'attività ECS ha la crittografia in transito disabilitata per i volumi EFS.

I volumi Amazon EFS forniscono uno storage di file condiviso semplice, scalabile e persistente da utilizzare con le attività di Amazon ECS. Amazon EFS supporta la crittografia dei dati in transito con Transport Layer Security (TLS). Quando la crittografia dei dati in transito viene dichiarata come opzione di montaggio per il file system EFS, Amazon EFS stabilisce una connessione TLS sicura con il file system EFS al momento del montaggio del file system.

### Correzione
<a name="ecs-18-remediation"></a>

Per informazioni sull'attivazione della crittografia in transito per Amazon ECS Task Definition con volumi EFS, consulta la [Fase 5: Creare una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) nella *Amazon Elastic Container Service Developer Guide*.

## [ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni
<a name="ecs-19"></a>

**Categoria: Proteggi > Protezione** dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::CapacityProvider`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un provider di capacità Amazon ECS ha abilitato la protezione gestita delle terminazioni. Il controllo fallisce se la protezione gestita dalla terminazione non è abilitata su un provider di capacità ECS.

I provider di capacità Amazon ECS gestiscono il dimensionamento dell'infrastruttura per le attività nei cluster. Quando si utilizzano le istanze EC2 per la propria capacità, si utilizza il gruppo Auto Scaling per gestire le istanze EC2. La protezione dalla terminazione gestita consente al dimensionamento automatico del cluster di controllare quali istanze vengono terminate. Quando usi la protezione da terminazione gestita, Amazon ECS termina solo le istanze EC2 che non dispongono di attività Amazon ECS in esecuzione.

**Nota**  
Quando utilizzi la protezione da terminazione gestita, devi utilizzare anche il dimensionamento gestito per farla funzionare.

### Correzione
<a name="ecs-19-remediation"></a>

Per abilitare la protezione gestita dalle terminazioni per un provider di capacità Amazon ECS, consulta [Updating managed termination protection for Amazon ECS capacity provider nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) *Elastic Container* Service Developer Guide.

## [ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux
<a name="ecs-20"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Linux per l'esecuzione come utenti non root. Il controllo fallisce se è configurato un utente root predefinito o se la configurazione utente è assente per qualsiasi contenitore.

Quando i contenitori Linux vengono eseguiti con privilegi di root, presentano diversi rischi significativi per la sicurezza. Gli utenti root hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante. Se un container che funziona come root viene compromesso, gli aggressori possono sfruttarlo per accedere o modificare le risorse del sistema host, danneggiando altri contenitori o l'host stesso. Inoltre, l'accesso root potrebbe consentire attacchi di escalation dei privilegi, permettendo agli aggressori di ottenere autorizzazioni aggiuntive oltre all'ambito previsto dal contenitore. Il parametro user nelle definizioni delle attività ECS può specificare gli utenti in diversi formati, tra cui nome utente, ID utente, nome utente con gruppo o UID con ID di gruppo. È importante essere consapevoli di questi diversi formati durante la configurazione delle definizioni delle attività per garantire che non venga concesso inavvertitamente l'accesso root. Seguendo il principio del privilegio minimo, i contenitori devono funzionare con le autorizzazioni minime richieste utilizzando utenti non root. Questo approccio riduce in modo significativo la potenziale superficie di attacco e mitiga l'impatto di potenziali violazioni della sicurezza. 

**Nota**  
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `LINUX` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come utente root predefinito. Gli utenti root predefiniti per i `LINUX` contenitori sono `"root"` e`"0"`.

### Correzione
<a name="ecs-20-remediation"></a>

Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.

## [ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows
<a name="ecs-21"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root

**Gravità:** media

**Tipo di risorsa:** `AWS::ECS::TaskDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Windows per l'esecuzione come utenti che non sono amministratori predefiniti. Il controllo fallisce se un amministratore predefinito è configurato come utente o la configurazione utente è assente per qualsiasi contenitore.

Quando i contenitori Windows vengono eseguiti con privilegi di amministratore, presentano diversi rischi significativi per la sicurezza. Gli amministratori hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante.

**Nota**  
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `WINDOWS_SERVER` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come amministratore predefinito per `WINDOWS_SERVER` i contenitori, ovvero. `"containeradministrator"`

### Correzione
<a name="ecs-21-remediation"></a>

Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.

# Controlli CSPM del Security Hub per Amazon EFS
<a name="efs-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic File System (Amazon EFS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS
<a name="efs-1"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), 3, 8 (1), 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.
+ `Encrypted` è impostato su `false` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La chiave `KmsKeyId` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) non corrisponde al parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Questo controllo non utilizza il parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Controlla solo il valore di `Encrypted`.

Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è necessario creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un file system Amazon EFS. Per ulteriori informazioni sulla crittografia Amazon EFS, consulta la sezione [Crittografia dei dati in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) nella *Amazon Elastic File System User Guide*.

### Correzione
<a name="efs-1-remediation"></a>

Per dettagli su come crittografare un nuovo file system Amazon EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User* Guide.

## [EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
<a name="efs-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recupero > Resilienza > Backup

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i file system Amazon EFS non sono inclusi nei piani di backup. 

L'inclusione dei file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.

### Correzione
<a name="efs-2-remediation"></a>

Per abilitare i backup automatici per un file system Amazon EFS esistente, consulta [Getting started 4: Create backup automatici di Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) nella *AWS Backup Developer* Guide.

## [EFS.3] I punti di accesso EFS devono applicare una directory principale
<a name="efs-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-6 (10)

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::AccessPoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare una directory principale. Il controllo fallisce se il valore di `Path` è impostato su `/` (la directory principale predefinita del file system).

Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.

### Correzione
<a name="efs-3-remediation"></a>

Per istruzioni su come applicare una directory principale per un punto di accesso Amazon EFS, consulta Implementazione di [una directory principale con un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) nella *Amazon Elastic File System User* Guide. 

## [EFS.4] I punti di accesso EFS devono applicare un'identità utente
<a name="efs-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::AccessPoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare un'identità utente. Questo controllo ha esito negativo se non viene definita un'identità utente POSIX durante la creazione del punto di accesso EFS.

I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un’identità utente, inclusi i gruppi dell’utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.

### Correzione
<a name="efs-4-remediation"></a>

Per applicare un'identità utente per un punto di accesso Amazon EFS, consulta [Applica un'identità utente utilizzando un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) nella *Amazon Elastic File System User* Guide. 

## [EFS.5] I punti di accesso EFS devono essere etichettati
<a name="efs-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EFS::AccessPoint`

**AWS Config regola:** `tagged-efs-accesspoint` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un punto di accesso Amazon EFS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="efs-5-remediation"></a>

Per aggiungere tag a un punto di accesso EFS, consulta la sezione [Tagging delle risorse Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) nella *Amazon Elastic File System User Guide*.

## [EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio
<a name="efs-6"></a>

**Categoria:** Protezione > Sicurezza della rete > Risorse non accessibili al pubblico

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un target di montaggio Amazon EFS è associato a sottoreti che assegnano indirizzi IP pubblici all'avvio. Il controllo fallisce se la destinazione di montaggio è associata a sottoreti che assegnano indirizzi IP pubblici all'avvio.

Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su `TRUE` per le sottoreti predefinite e `FALSE` per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). `TRUE` Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. `FALSE` Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale. Gli obiettivi di montaggio di Amazon EFS che vengono lanciati in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.

### Correzione
<a name="efs-6-remediation"></a>

Per associare una destinazione di montaggio esistente a una sottorete diversa, devi creare una nuova destinazione di montaggio in una sottorete che non assegni indirizzi IP pubblici all'avvio e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta [Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) nella *Amazon Elastic File System User Guide*. 

## [EFS.7] I file system EFS devono avere i backup automatici abilitati
<a name="efs-7"></a>

**Categoria:** Recover > Resilience > Backup abilitati

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un file system Amazon EFS ha i backup automatici abilitati. Questo controllo fallisce se il file system EFS non ha i backup automatici abilitati.

Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.

### Correzione
<a name="efs-7-remediation"></a>

Per informazioni sull'utilizzo AWS Backup per i file system EFS, consulta [Backup up EFS file system](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) nella *Amazon Elastic File System User Guide*.

## [EFS.8] I file system EFS devono essere crittografati quando sono inattivi
<a name="efs-8"></a>

**Requisiti correlati:** CIS Foundations Benchmark AWS v5.0.0/2.3.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EFS::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un file system Amazon EFS crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.

I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="efs-8-remediation"></a>

Per abilitare la crittografia a riposo per un nuovo file system EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User Guide*.

# Controlli CSPM del Security Hub per Amazon EKS
<a name="eks-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Kubernetes Service (Amazon EKS). I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
<a name="eks-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::EKS::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un endpoint del cluster Amazon EKS è accessibile pubblicamente. Il controllo fallisce se un cluster EKS ha un endpoint accessibile pubblicamente.

Quando crei un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito che usi per comunicare con il cluster. Per impostazione predefinita, questo endpoint del server API è disponibile pubblicamente su Internet. L'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e RBAC (Role Based Access Control) nativo di Kubernetes. Rimuovendo l'accesso pubblico all'endpoint, puoi evitare l'esposizione e l'accesso involontari al tuo cluster.

### Correzione
<a name="eks-1-remediation"></a>

Per modificare l'accesso agli endpoint per un cluster EKS esistente, consulta [Modificare l'accesso agli endpoint del cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) nella **Amazon EKS** User Guide. Puoi configurare l'accesso agli endpoint per un nuovo cluster EKS al momento della creazione. Per istruzioni sulla creazione di un nuovo cluster Amazon EKS, consulta [Creazione di un cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) nella **Guida per l'utente di Amazon EKS**. 

## [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
<a name="eks-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** alta

**Tipo di risorsa:** `AWS::EKS::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `oldestVersionSupported`: `1.33` (non personalizzabile)

Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Il controllo fallisce se il cluster EKS viene eseguito su una versione non supportata.

Se la tua applicazione non richiede una versione specifica di Kubernetes, ti consigliamo di utilizzare l'ultima versione di Kubernetes disponibile supportata da EKS per i tuoi cluster. **Per ulteriori informazioni, consulta il [calendario delle release di Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) e [Comprendi il ciclo di vita della versione Kubernetes su Amazon EKS nella Guida per l'utente di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**

### Correzione
<a name="eks-2-remediation"></a>

Per aggiornare un cluster EKS, consulta [Aggiornare un cluster esistente a una nuova versione di Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) nella **Amazon EKS** User Guide. 

## [EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
<a name="eks-3"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, 3, 8, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/8.3.2 NIST.800-53.r5 SC-2

**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EKS::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon EKS utilizza segreti Kubernetes crittografati. Il controllo fallisce se i segreti Kubernetes del cluster non sono crittografati.

Quando crittografi i segreti, puoi utilizzare le chiavi AWS Key Management Service (AWS KMS) per fornire la crittografia in busta dei segreti Kubernetes archiviati in etcd per il tuo cluster. Questa crittografia si aggiunge alla crittografia del volume EBS che è abilitata per impostazione predefinita per tutti i dati (inclusi i segreti) archiviati in etcd come parte di un cluster EKS. L'utilizzo della crittografia segreta per il cluster EKS consente di implementare una strategia di difesa approfondita per le applicazioni Kubernetes crittografando i segreti Kubernetes con una chiave KMS definita e gestita dall'utente.

### Correzione
<a name="eks-3-remediation"></a>

Per abilitare la crittografia segreta su un cluster EKS, [consulta Abilitazione della crittografia segreta su un cluster esistente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) nella **Guida per l'utente di Amazon EKS**. 

## [EKS.6] I cluster EKS devono essere etichettati
<a name="eks-6"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EKS::Cluster`

**AWS Config regola:** `tagged-eks-cluster` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un cluster Amazon EKS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="eks-6-remediation"></a>

Per aggiungere tag a un cluster EKS, consulta [Tagging your Amazon EKS Resources](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) nella **Amazon EKS User Guide**.

## [EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
<a name="eks-7"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::EKS::IdentityProviderConfig`

**AWS Config regola:** `tagged-eks-identityproviderconfig` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se la configurazione di un provider di identità Amazon EKS ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="eks-7-remediation"></a>

Per aggiungere tag alle configurazioni di un provider di identità EKS, consulta [Tagging your Amazon EKS resources](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) nella **Amazon EKS User Guide**.

## [EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
<a name="eks-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::EKS::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `logTypes: audit`(non personalizzabile)

Questo controllo verifica se un cluster Amazon EKS ha abilitato la registrazione di audit. Il controllo fallisce se la registrazione di controllo non è abilitata per il cluster.

**Nota**  
Questo controllo non verifica se la registrazione di audit di Amazon EKS è abilitata tramite Amazon Security Lake per. Account AWS

La registrazione del piano di controllo EKS fornisce registri di audit e diagnostica direttamente dal piano di controllo EKS ad Amazon CloudWatch Logs nel tuo account. Puoi selezionare i tipi di log di cui hai bisogno e i log vengono inviati come flussi di log a un gruppo per ogni cluster EKS in cui risiede. CloudWatch La registrazione offre visibilità sull'accesso e sulle prestazioni dei cluster EKS. Inviando i log del piano di controllo EKS per i cluster EKS a CloudWatch Logs, è possibile registrare le operazioni a fini di controllo e diagnostica in una posizione centrale.

### Correzione
<a name="eks-8-remediation"></a>

Per abilitare i log di controllo per il tuo cluster EKS, consulta [Abilitazione e disabilitazione dei log del piano di controllo nella Guida per l'utente di **Amazon EKS**](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export). 

# Controlli CSPM Security Hub per ElastiCache
<a name="elasticache-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il ElastiCache servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
<a name="elasticache-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria**: Ripristino > Resilienza > Backup abilitati

**Gravità:** alta

**Tipo di risorsa:**, `AWS::ElastiCache::CacheCluster` `AWS:ElastiCache:ReplicationGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Periodo minimo di conservazione delle istantanee in giorni  |  Numero intero  |  `1` Da a `35`  |  `1`  | 

Questo controllo valuta se un cluster Amazon ElastiCache (Redis OSS) ha i backup automatici abilitati. Il controllo fallisce se il periodo di `SnapshotRetentionLimit` tempo per il cluster Redis OSS è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub CSPM utilizza un valore predefinito di 1 giorno.

ElastiCache I cluster (Redis OSS) possono eseguire il backup dei propri dati. Il backup può essere utilizzato per ripristinare un cluster o dare fonte a un nuovo cluster. Il backup è costituito dai metadati del cluster, insieme a tutti i dati del cluster. Tutti i backup vengono scritti su Amazon S3, che fornisce uno storage durevole. Puoi ripristinare i dati creando un nuovo ElastiCache cluster e popolandolo con i dati di un backup. È possibile gestire i backup utilizzando l' Console di gestione AWS AWS CLI, l'e l' ElastiCache API.

**Nota**  
Questo controllo valuta anche i gruppi di replica ElastiCache (Redis OSS e Valkey).

### Correzione
<a name="elasticache-1-remediation"></a>

*Per informazioni sulla pianificazione dei backup automatici per un ElastiCache cluster, consulta la sezione [Pianificazione dei backup automatici nella](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) Amazon User Guide. ElastiCache *

## [ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati
<a name="elasticache-2"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5) PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** alta

**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo valuta se Amazon applica ElastiCache automaticamente aggiornamenti di versione minori a un cluster di cache. Il controllo fallisce se al cluster di cache non vengono applicati automaticamente aggiornamenti di versione minori.

**Nota**  
Questo controllo non si applica ai cluster ElastiCache Memcached.

L'aggiornamento automatico della versione secondaria è una funzionalità che puoi abilitare in Amazon ElastiCache per aggiornare automaticamente i tuoi cluster di cache quando è disponibile una nuova versione del motore di cache secondario. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Continuare up-to-date a installare le patch è un passo importante per proteggere i sistemi.

### Correzione
<a name="elasticache-2-remediation"></a>

Per applicare automaticamente aggiornamenti di versioni minori a un cluster di ElastiCache cache esistente, consulta la sezione [Gestione delle versioni ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) nella *Amazon ElastiCache User Guide*.

## [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
<a name="elasticache-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di ElastiCache replica ha il failover automatico abilitato. Il controllo fallisce se il failover automatico non è abilitato per un gruppo di replica.

Quando il failover automatico è abilitato per un gruppo di replica, il ruolo del nodo primario eseguirà automaticamente il failover su una delle repliche di lettura. Questa promozione del failover e della replica consente di riprendere la scrittura sul nuovo sistema primario una volta completata la promozione, riducendo così i tempi di inattività complessivi in caso di guasto.

### Correzione
<a name="elasticache-3-remediation"></a>

Per abilitare il failover automatico per un gruppo di ElastiCache replica esistente, consulta [Modifying an ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) nella *Amazon ElastiCache * User Guide. Se usi la ElastiCache console, imposta il **failover automatico** su abilitato.

## [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
<a name="elasticache-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di ElastiCache replica è crittografato quando è inattivo. Il controllo ha esito negativo se il gruppo di replica non è crittografato a riposo.

La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. ElastiCache I gruppi di replica (Redis OSS) devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

### Correzione
<a name="elasticache-4-remediation"></a>

Per configurare la crittografia a riposo su un gruppo di ElastiCache replica, consulta [Enabling at-rest encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) nella *Amazon ElastiCache * User Guide.

## [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
<a name="elasticache-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di ElastiCache replica è crittografato in transito. Il controllo ha esito negativo se il gruppo di replica non è crittografato in transito.

La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete. L'attivazione della crittografia in transito su un gruppo di ElastiCache replica crittografa i dati ogni volta che vengono spostati da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione.

### Correzione
<a name="elasticache-5-remediation"></a>

Per configurare la crittografia in transito su un gruppo di ElastiCache replica, consulta [Enabling in-transit encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) nella *Amazon ElastiCache * User Guide.

## [ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato
<a name="elasticache-6"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di replica ElastiCache (Redis OSS) ha Redis OSS AUTH abilitato. Il controllo ha esito negativo se la versione Redis OSS dei nodi del gruppo di replica è inferiore alla 6.0 e non è in uso. `AuthToken`

Quando si utilizzano token di autenticazione o password Redis, Redis richiede una password prima di consentire ai client di eseguire i comandi, il che migliora la sicurezza dei dati. Per Redis 6.0 e versioni successive, consigliamo di utilizzare Role-Based Access Control (RBAC). Poiché RBAC non è supportato per le versioni di Redis precedenti alla 6.0, questo controllo valuta solo le versioni che non possono utilizzare la funzionalità RBAC.

### Correzione
<a name="elasticache-6-remediation"></a>

*Per utilizzare Redis AUTH su un gruppo di replica ElastiCache (Redis OSS), consulta [Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) nella Amazon User Guide. ElastiCache *

## [ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
<a name="elasticache-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un ElastiCache cluster è configurato con un gruppo di sottoreti personalizzato. Il controllo ha esito negativo se `CacheSubnetGroupName` per un ElastiCache cluster ha il valore`default`.

Quando si avvia un ElastiCache cluster, viene creato un gruppo di sottoreti predefinito se non ne esiste già uno. Il gruppo predefinito utilizza le sottoreti del Virtual Private Cloud (VPC) predefinito. Si consiglia di utilizzare gruppi di sottoreti personalizzati che limitino le sottoreti in cui risiede il cluster e la rete che il cluster eredita dalle sottoreti.

### Correzione
<a name="elasticache-7-remediation"></a>

Per creare un nuovo gruppo di sottoreti per un ElastiCache cluster, consulta la sezione [Creazione di un gruppo di sottoreti](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) nella *Amazon ElastiCache User Guide*.

# Controlli CSPM di Security Hub per Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Elastic Beanstalk servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata
<a name="elasticbeanstalk-1"></a>

**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

**Categoria: Rileva > Servizi** di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i report avanzati sullo stato di salute sono abilitati per gli AWS Elastic Beanstalk ambienti in uso.

La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione.

Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. L'agente sanitario Elastic Beanstalk, incluso nelle Amazon Machine AMIs Images () supportate, valuta i log e i parametri delle istanze di ambiente. EC2

*Per ulteriori informazioni, consulta [Reporting and health monitoring avanzati](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) nella Developer Guide.AWS Elastic Beanstalk *

### Correzione
<a name="elasticbeanstalk-1-remediation"></a>

*Per istruzioni su come abilitare la reportistica sanitaria avanzata, consulta [Enhanced Health Reporting using the Elastic Beanstalk console](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) nella Developer Guide.AWS Elastic Beanstalk *

## [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati
<a name="elasticbeanstalk-2"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** alta

**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Livello di aggiornamento della versione  |  Enum  |  `minor`, `patch`  |  Nessun valore predefinito  | 

Questo controllo verifica se gli aggiornamenti della piattaforma gestita sono abilitati per un ambiente Elastic Beanstalk. Il controllo fallisce se non sono abilitati gli aggiornamenti gestiti della piattaforma. Per impostazione predefinita, il controllo passa se è abilitato qualsiasi tipo di aggiornamento della piattaforma. Facoltativamente, è possibile fornire un valore di parametro personalizzato per richiedere un livello di aggiornamento specifico.

L'abilitazione degli aggiornamenti gestiti della piattaforma garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.

### Correzione
<a name="elasticbeanstalk-2-remediation"></a>

Per abilitare gli aggiornamenti gestiti della piattaforma, consulta [Configurare gli aggiornamenti gestiti della piattaforma in Aggiornamenti gestiti della piattaforma](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) nella *Guida per gli AWS Elastic Beanstalk sviluppatori*.

## [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
<a name="elasticbeanstalk-3"></a>

Requisiti **correlati**: PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** alta

**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Numero di giorni in cui conservare gli eventi di registro prima della scadenza  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Nessun valore predefinito  | 

Questo controllo verifica se un ambiente Elastic Beanstalk è configurato per inviare log a Logs. CloudWatch Il controllo fallisce se un ambiente Elastic Beanstalk non è configurato per inviare log a Logs. CloudWatch Facoltativamente, puoi fornire un valore personalizzato per il `RetentionInDays` parametro se desideri che il controllo passi solo se i log vengono conservati per il numero di giorni specificato prima della scadenza.

CloudWatch consente di raccogliere e monitorare varie metriche per le applicazioni e le risorse dell'infrastruttura. È inoltre possibile utilizzarlo CloudWatch per configurare le azioni di allarme in base a metriche specifiche. Ti consigliamo di integrare Elastic Beanstalk con per ottenere una maggiore visibilità nel tuo ambiente Elastic CloudWatch Beanstalk. I log di Elastic Beanstalk includono eb-activity.log, i log di accesso dall'ambiente nginx o dal server proxy Apache e i log specifici di un ambiente.

### Correzione
<a name="elasticbeanstalk-3-remediation"></a>

*Per integrare Elastic CloudWatch Beanstalk con Logs[, consulta Streaming dei log delle istanze CloudWatch ](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming) su Logs nella Developer Guide.AWS Elastic Beanstalk *

# Controlli CSPM di Security Hub per Elastic Load Balancing
<a name="elb-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Elastic Load Balancing. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS
<a name="elb-1"></a>

**Requisiti correlati:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3) NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il reindirizzamento da HTTP a HTTPS è configurato su tutti i listener HTTP di Application Load Balancers. Il controllo ha esito negativo se per uno dei listener HTTP di Application Load Balancers non è configurato il reindirizzamento da HTTP a HTTPS.

Prima di iniziare a utilizzare Application Load Balancer, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener supportano entrambi i protocolli HTTP e HTTPS. È possibile utilizzare un listener HTTPS per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico. Per applicare la crittografia in transito, è necessario utilizzare le azioni di reindirizzamento con Application Load Balancers per reindirizzare le richieste HTTP dei client a una richiesta HTTPS sulla porta 443.

*Per ulteriori informazioni, consulta [Listeners for your Application Load Balancers nella User Guide for Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html).*

### Correzione
<a name="elb-1-remediation"></a>

Per reindirizzare le richieste HTTP su HTTPS, è necessario aggiungere una regola listener Application Load Balancer o modificare una regola esistente.

Per istruzioni sull'aggiunta di una nuova regola, consulta [Aggiungere una regola](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) nella *Guida utente di Application Load Balancers*. Per **Protocollo: Porta**, scegliete **HTTP**, quindi immettete. **80** Per **Aggiungi azione, Reindirizza a**, scegli **HTTPS**, quindi inserisci**443**.

Per istruzioni sulla modifica di una regola esistente, consulta [Modificare una regola](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) nella *Guida utente di Application Load Balancers*. Per **Protocollo: Porta**, scegliete **HTTP**, quindi immettete. **80** Per **Aggiungi azione, Reindirizza a**, scegli **HTTPS**, quindi inserisci**443**.

## [ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager
<a name="elb-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 (4), (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8 NIST.800-53.r5 SC-2

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il Classic Load Balancer utilizza i HTTPS/SSL certificati forniti da AWS Certificate Manager (ACM). Il controllo fallisce se il Classic Load Balancer configurato con HTTPS/SSL listener non utilizza un certificato fornito da ACM.

Per creare un certificato, puoi utilizzare ACM o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Security Hub CSPM consiglia di utilizzare ACM per creare o importare certificati per il sistema di bilanciamento del carico.

ACM si integra con Classic Load Balancers in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. È inoltre necessario rinnovare automaticamente questi certificati.

### Correzione
<a name="elb-2-remediation"></a>

Per informazioni su come associare un SSL/TLS certificato ACM a un Classic Load Balancer, consulta AWS l'[articolo del Knowledge Center Come posso associare un certificato SSL/TLS ACM a un Classic, Application o Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
<a name="elb-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i listener Classic Load Balancer sono configurati con il protocollo HTTPS o TLS per le connessioni front-end (da client a load balancer). Il controllo è applicabile se un Classic Load Balancer dispone di ascoltatori. Se il Classic Load Balancer non dispone di un listener configurato, il controllo non riporta alcun risultato.

Il controllo passa se i listener Classic Load Balancer sono configurati con TLS o HTTPS per le connessioni front-end.

Il controllo fallisce se il listener non è configurato con TLS o HTTPS per le connessioni front-end.

Prima di iniziare a utilizzare un sistema di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener possono supportare sia HTTP che protocolli. HTTPS/TLS È necessario utilizzare sempre un listener HTTPS o TLS, in modo che il load balancer esegua il lavoro di crittografia e decrittografia in transito.

### Correzione
<a name="elb-3-remediation"></a>

Per risolvere questo problema, aggiorna i listener in modo che utilizzino il protocollo TLS o HTTPS.

**Per trasformare tutti gli ascoltatori non conformi in ascoltatori TLS/HTTPS**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, in **Bilanciamento del carico**, scegli **Sistemi di bilanciamento del carico**.

1. Seleziona il Classic Load Balancer.

1. Nella scheda **Listeners (Listener)**, seleziona **Edit (Modifica)**.

1. Per tutti i listener in cui **Load Balancer** Protocol non è impostato su HTTPS o SSL, modificate l'impostazione su HTTPS o SSL.

1. **Per tutti i listener modificati, nella scheda **Certificati, scegliete Cambia default**.**

1. Selezionare un certificato per **Certificati ACM e IAM**.

1. Scegliere **Salva come predefinito**.

1. **Dopo aver aggiornato tutti i listener, scegliete Salva.**

## [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide
<a name="elb-4"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Categoria**: Proteggi > Sicurezza di rete

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo valuta se un Application Load Balancer è configurato per eliminare intestazioni HTTP non valide. Il controllo ha esito negativo se il valore di `routing.http.drop_invalid_header_fields.enabled` è impostato su. `false`

Per impostazione predefinita, gli Application Load Balancer non sono configurati per eliminare valori di intestazione HTTP non validi. La rimozione di questi valori di intestazione impedisce gli attacchi di desincronizzazione HTTP.

**Nota**  
Ti consigliamo di disabilitare questo controllo se ELB.12 è abilitato nel tuo account. Per ulteriori informazioni, consulta [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](#elb-12).

### Correzione
<a name="elb-4-remediation"></a>

Per risolvere questo problema, configura il sistema di bilanciamento del carico in modo da eliminare i campi di intestazione non validi.

**Per configurare il load balancer in modo da eliminare i campi di intestazione non validi**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione selezionare **Load Balancers (Sistemi di bilanciamento del carico)**.

1. Scegliete un Application Load Balancer.

1. Da **Azioni**, scegli **Modifica attributi**.

1. **In **Elimina campi di intestazione non validi**, scegli Abilita.**

1. Scegli **Save** (Salva).

## [ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata
<a name="elb-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

`AWS::ElasticLoadBalancing::LoadBalancer`Tipo di risorsa**:**, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'Application Load Balancer e il Classic Load Balancer hanno la registrazione abilitata. Se lo è, il controllo fallisce. `access_logs.s3.enabled` `false`

Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare. 

Per ulteriori informazioni, consulta [i registri di accesso per il tuo Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) *nella Guida per l'utente dei Classic* Load Balancer.

### Correzione
<a name="elb-5-remediation"></a>

Per abilitare i log di accesso, consulta la [Fase 3: Configurazione dei log di accesso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) nella Guida *utente* per Application Load Balancers.

## [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata
<a name="elb-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'applicazione, un gateway o un Network Load Balancer ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se la protezione da eliminazione è disattivata.

Abilita la protezione dall'eliminazione per proteggere l'applicazione, il gateway o il Network Load Balancer dall'eliminazione.

### Correzione
<a name="elb-6-remediation"></a>

Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, è possibile abilitare la protezione da eliminazione. Per impostazione predefinita, la protezione da eliminazioni è disabilitata nel sistema di bilanciamento del carico.

Se si abilita la protezione da eliminazione per il sistema di bilanciamento del carico, è necessario disabilitare la protezione da eliminazione prima di poter eliminare il sistema di bilanciamento del carico.

Per abilitare la protezione da eliminazione per un Application Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) nella *User Guide for Application Load* Balancer. Per abilitare la protezione da eliminazione per un Gateway Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) nella *Guida utente di Gateway Load* Balancer. Per abilitare la protezione da eliminazione per un Network Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) nella *Guida dell'utente per Network Load* Balancer.

## [ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato
<a name="elb-7"></a>

**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2

**Categoria**: Recupero > Resilienza

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config regola:** `elb-connection-draining-enabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se i Classic Load Balancer hanno abilitato il drenaggio della connessione.

L'abilitazione del drenaggio della connessione sui Classic Load Balancer garantisce che il sistema di bilanciamento del carico interrompa l'invio di richieste alle istanze che non registrano alcuna registrazione o che non sono funzionanti. Mantiene aperte le connessioni esistenti. Ciò è particolarmente utile per le istanze nei gruppi di Auto Scaling, per garantire che le connessioni non vengano interrotte bruscamente.

### Correzione
<a name="elb-7-remediation"></a>

Per abilitare il drenaggio della connessione sui Classic Load Balancer, consulta [Configurare il drenaggio della connessione per Classic Load Balancer nella Guida *dell'utente* per Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).

## [ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config
<a name="elb-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (non personalizzabile)

Questo controllo verifica se i HTTPS/SSL listener Classic Load Balancer utilizzano la policy predefinita. `ELBSecurityPolicy-TLS-1-2-2017-01` Il controllo fallisce se i HTTPS/SSL listener Classic Load Balancer non lo utilizzano. `ELBSecurityPolicy-TLS-1-2-2017-01`

Una politica di sicurezza è una combinazione di protocolli SSL, cifrari e l'opzione Server Order Preference. Le politiche predefinite controllano i codici, i protocolli e gli ordini di preferenza da supportare durante le negoziazioni SSL tra un client e un sistema di bilanciamento del carico.

L'utilizzo `ELBSecurityPolicy-TLS-1-2-2017-01` può aiutarti a soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di versioni specifiche di SSL e TLS. Per ulteriori informazioni, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancers nella Guida per *l'utente* di Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html).

### Correzione
<a name="elb-8-remediation"></a>

Per informazioni su come utilizzare la politica di sicurezza predefinita `ELBSecurityPolicy-TLS-1-2-2017-01` con un Classic Load Balancer, [consulta Configure security](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) settings *in User Guide for Classic* Load Balancer.

## [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato
<a name="elb-9"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il bilanciamento del carico tra zone è abilitato per Classic Load Balancers (). CLBs Il controllo fallisce se il bilanciamento del carico tra zone non è abilitato per un CLB.

Un nodo di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il bilanciamento del carico tra zone è disabilitato, ogni nodo del sistema di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il numero di destinazioni registrate non è lo stesso nelle zone di disponibilità, il traffico non verrà distribuito in modo uniforme e le istanze in una zona potrebbero finire per essere utilizzate in modo eccessivo rispetto alle istanze in un'altra zona. Con il bilanciamento del carico tra zone abilitato, ogni nodo di load balancer per Classic Load Balancer distribuisce le richieste in modo uniforme tra le istanze registrate in tutte le zone di disponibilità abilitate. Per i dettagli, consulta [il bilanciamento del carico tra zone nella Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) User Guide.

### Correzione
<a name="elb-9-remediation"></a>

Per abilitare il bilanciamento del carico tra zone in un Classic Load Balancer, [consulta Abilita il bilanciamento del carico tra zone nella Guida *utente* per Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Balancer.

## [ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
<a name="elb-10"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Numero minimo di zone di disponibilità  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Questo controllo verifica se un Classic Load Balancer è stato configurato per coprire almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se il Classic Load Balancer non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs

 È possibile configurare un Classic Load Balancer per distribuire le richieste in entrata tra le istanze Amazon EC2 in una singola zona di disponibilità o più zone di disponibilità. Un Classic Load Balancer che non si estende su più zone di disponibilità non è in grado di reindirizzare il traffico verso destinazioni in un'altra zona di disponibilità se l'unica zona di disponibilità configurata non è disponibile. 

### Correzione
<a name="elb-10-remediation"></a>

 Per aggiungere zone di disponibilità a un Classic Load Balancer, consulta [Aggiungere o rimuovere sottoreti per il Classic Load Balancer nella Guida *utente* per Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html). 

## [ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
<a name="elb-12"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoria**: Protezione > Protezione dei dati > Integrità dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `desyncMode`: `defensive, strictest` (non personalizzabile)

Questo controllo verifica se un Application Load Balancer è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. Il controllo fallisce se un Application Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda di richieste o della cache. A loro volta, queste vulnerabilità possono portare al furto di credenziali o all'esecuzione di comandi non autorizzati. Gli Application Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync. 

### Correzione
<a name="elb-12-remediation"></a>

Per aggiornare la modalità di mitigazione della desincronizzazione di un Application Load Balancer, [consulta la modalità di mitigazione Desync nella User Guide for Application](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) *Load Balancers*. 

## [ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità
<a name="elb-13"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità** 

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Numero minimo di zone di disponibilità  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Questo controllo verifica se un Elastic Load Balancer V2 (Application, Network o Gateway Load Balancer) ha istanze registrate da almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un Elastic Load Balancer V2 non ha istanze registrate almeno nel numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs

Il servizio Elastic Load Balancing distribuisce automaticamente il traffico in ingresso su più destinazioni, ad esempio istanze EC2, container e indirizzi IP, in una o più zone di disponibilità. Elastic Load Balancing ridimensiona il load balancer di volta in volta, in quanto il traffico in ingresso varia nel corso del tempo. Si consiglia di configurare almeno due zone di disponibilità per garantire la disponibilità dei servizi, poiché Elastic Load Balancer sarà in grado di indirizzare il traffico verso un'altra zona di disponibilità se una non è disponibile. La configurazione di più zone di disponibilità contribuirà a eliminare la presenza di un unico punto di errore per l'applicazione. 

### Correzione
<a name="elb-13-remediation"></a>

Per aggiungere una zona di disponibilità a un Application Load Balancer, consulta [Availability Zones for your Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer nella *User Guide for* Application Load Balancer. Per aggiungere una zona di disponibilità a un Network Load Balancer, consulta [Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) nella *User Guide for* Network Load Balancer. Per aggiungere una zona di disponibilità a un Gateway Load Balancer, vedere [Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) nella *Guida utente per* Gateway Load Balancer. 

## [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
<a name="elb-14"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoria**: Protezione > Protezione dei dati > Integrità dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `desyncMode`: `defensive, strictest` (non personalizzabile)

Questo controllo verifica se un Classic Load Balancer è configurato con la modalità difensiva o la più rigorosa di mitigazione della desincronizzazione. Il controllo fallisce se il Classic Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda delle richieste o della cache. A loro volta, queste vulnerabilità possono portare al dirottamento delle credenziali o all'esecuzione di comandi non autorizzati. I Classic Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync. 

### Correzione
<a name="elb-14-remediation"></a>

Per aggiornare la modalità di mitigazione della desincronizzazione su un Classic Load Balancer, [consulta Modify desync mitigation](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) mode nella *User* Guide for Classic Load Balancer. 

## [ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
<a name="elb-16"></a>

Requisiti **correlati**: (21) NIST.800-53.r5 AC-4

**Categoria:** Proteggi > Servizi di protezione

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un Application Load Balancer è associato a una lista di controllo degli accessi AWS WAF classica o AWS WAF Web (Web ACL). Il controllo fallisce se il `Enabled` campo per la AWS WAF configurazione è impostato su. `false`

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Con AWS WAF, puoi configurare un ACL Web, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Ti consigliamo di associare l'Application Load Balancer a AWS WAF un ACL web per proteggerlo da attacchi dannosi.

### Correzione
<a name="elb-16-remediation"></a>

*Per associare un Application Load Balancer a un ACL Web, consulta [Associating or dissociating a Web ACL con una risorsa nella Developer Guide](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html). AWS AWS WAF * 

## [ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate
<a name="elb-17"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::Listener`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**`sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (non personalizzabile)

Questo controllo verifica se il listener HTTPS per un Application Load Balancer o il listener TLS per un Network Load Balancer è configurato per crittografare i dati in transito utilizzando una politica di sicurezza consigliata. Il controllo ha esito negativo se il listener HTTPS o TLS per un load balancer non è configurato per utilizzare una politica di sicurezza consigliata.

Elastic Load Balancing utilizza una configurazione di negoziazione SSL, nota come *policy di sicurezza*, per negoziare le connessioni tra un client e un sistema di bilanciamento del carico. La politica di sicurezza specifica una combinazione di protocolli e cifrari. Il protocollo stabilisce una connessione sicura tra un client e un server. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. Durante il processo di negoziazione della connessione, il client e il sistema di bilanciamento del carico forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. L'utilizzo di una politica di sicurezza consigliata per un sistema di bilanciamento del carico può aiutarti a soddisfare gli standard di conformità e sicurezza.

### Correzione
<a name="elb-17-remediation"></a>

[Per informazioni sulle politiche di sicurezza consigliate e su come aggiornare i listener, consulta le seguenti sezioni delle guide *utente di Elastic Load Balancing*[: Criteri di sicurezza per Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), Criteri di [sicurezza per Network Load Balancer,](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html) Aggiornamento di un listener HTTPS [per Application Load Balancer e Aggiornamento di un](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) listener per Network Load Balancer.](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)

## [ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito
<a name="elb-18"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::Listener`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il listener di un Application Load Balancer o Network Load Balancer è configurato per utilizzare un protocollo sicuro per la crittografia dei dati in transito. Il controllo ha esito negativo se un listener Application Load Balancer non è configurato per utilizzare il protocollo HTTPS o un listener Network Load Balancer non è configurato per utilizzare il protocollo TLS.

Per crittografare i dati trasmessi tra un client e un sistema di bilanciamento del carico, i listener Elastic Load Balancer devono essere configurati per utilizzare i protocolli di sicurezza standard del settore: HTTPS per Application Load Balancers o TLS per Network Load Balancers. In caso contrario, i dati trasmessi tra un client e un sistema di bilanciamento del carico sono vulnerabili all'intercettazione, alla manomissione e all'accesso non autorizzato. L'uso di HTTPS o TLS da parte di un listener è in linea con le migliori pratiche di sicurezza e aiuta a garantire la riservatezza e l'integrità dei dati durante la trasmissione. Ciò è particolarmente importante per le applicazioni che gestiscono informazioni sensibili o che devono rispettare gli standard di sicurezza che richiedono la crittografia dei dati in transito.

### Correzione
<a name="elb-18-remediation"></a>

Per informazioni sulla configurazione dei protocolli di sicurezza per i listener, consulta le seguenti sezioni delle guide *utente di Elastic Load Balancing*[: Crea un listener HTTPS per il tuo Application Load Balancer [e Crea un listener per](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html) il tuo Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Balancer.

## [ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati
<a name="elb-21"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se il gruppo target per i controlli dello stato delle applicazioni e del bilanciamento del carico di rete utilizza un protocollo di trasporto crittografato. Il controllo ha esito negativo se il protocollo di controllo dello stato di salute non utilizza HTTPS. Questo controllo non è applicabile ai tipi di target Lambda.

 I Load Balancer inviano richieste di controllo dello stato di salute ai target registrati per determinarne lo stato e indirizzare il traffico di conseguenza. Il protocollo di controllo dello stato di salute specificato nella configurazione del gruppo target determina come vengono eseguiti questi controlli. Quando i protocolli di controllo dello stato di salute utilizzano comunicazioni non crittografate come HTTP, le richieste e le risposte possono essere intercettate o manipolate durante la trasmissione. Ciò consente agli aggressori di ottenere informazioni sulla configurazione dell'infrastruttura, alterare i risultati dei controlli sanitari o condurre attacchi che influiscono sulle decisioni di routing. man-in-the-middle L'utilizzo di HTTPS per i controlli sanitari fornisce una comunicazione crittografata tra il sistema di bilanciamento del carico e i suoi obiettivi, proteggendo l'integrità e la riservatezza delle informazioni sullo stato di salute.

### Correzione
<a name="elb-21-remediation"></a>

Per configurare controlli di integrità crittografati per il tuo gruppo target di Application Load Balancer, consulta [Aggiornare le impostazioni del controllo dello stato di un gruppo target di Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) nella *Elastic Load Balancing* User Guide. Per configurare controlli di integrità crittografati per il tuo gruppo target Network Load Balancer, consulta [Aggiornare le impostazioni del controllo dello stato di un gruppo target di Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) nella *Elastic Load Balancing* User Guide.

## [ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
<a name="elb-22"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo target Elastic Load Balancing utilizza un protocollo di trasporto crittografato. Questo controllo non si applica ai gruppi target con un tipo di destinazione Lambda o ALB o ai gruppi target che utilizzano il protocollo GENEVE. Il controllo fallisce se il gruppo target non utilizza il protocollo HTTPS, TLS o QUIC.

 La crittografia dei dati in transito li protegge dall'intercettazione da parte di utenti non autorizzati. I gruppi target che utilizzano protocolli non crittografati (HTTP, TCP, UDP) trasmettono i dati senza crittografia, rendendoli vulnerabili alle intercettazioni. L'utilizzo di protocolli crittografati (HTTPS, TLS, QUIC) garantisce la protezione dei dati trasmessi tra i sistemi di bilanciamento del carico e le destinazioni.

### Correzione
<a name="elb-22-remediation"></a>

Per utilizzare un protocollo crittografato, è necessario creare un nuovo gruppo target con il protocollo HTTPS, TLS o QUIC. Il protocollo del gruppo target non può essere modificato dopo la creazione. Per creare un gruppo target di Application Load Balancer, consulta [Creare un gruppo target per il tuo Application Load Balancer nella Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) *Balancing* User Guide. Per creare un gruppo target di Network Load Balancer, consulta [Creare un gruppo target per il Network Load Balancer nella Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) *Balancing* User Guide. 

# Security Hub CSPM per Elasticsearch
<a name="es-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Elasticsearch.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
<a name="es-1"></a>

**Requisiti correlati:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se nei domini Elasticsearch è abilitata la configurazione Encryption at Rest. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.

Per un ulteriore livello di sicurezza per i tuoi dati sensibili OpenSearch, dovresti configurarli in modo che vengano crittografati quando sono inattivi. OpenSearch I domini Elasticsearch offrono la crittografia dei dati archiviati. La funzionalità consente di AWS KMS archiviare e gestire le chiavi di crittografia. Per eseguire la crittografia, utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).

Per ulteriori informazioni sulla OpenSearch crittografia a riposo, consulta [Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) nella *Amazon OpenSearch Service Developer Guide*.

Alcuni tipi di istanze, come `t.small` e`t.medium`, non supportano la crittografia dei dati inattivi. Per i dettagli, consulta la sezione [Tipi di istanze supportati](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) nella *Amazon OpenSearch Service Developer Guide*.

### Correzione
<a name="es-1-remediation"></a>

Per abilitare la crittografia a riposo per i domini Elasticsearch nuovi ed esistenti, consulta [Enabling encryption of data at rest nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service* Developer Guide.

## [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
<a name="es-2"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC 

**Severità:** critica

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se i domini Elasticsearch si trovano in un VPC. Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. Consulta [le politiche basate sulle risorse](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) nella *Amazon OpenSearch Service* Developer Guide. È inoltre necessario assicurarsi che il VPC sia configurato in base alle procedure consigliate. Consulta [le best practice di sicurezza per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) nella Amazon *VPC* User Guide.

I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCs forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza. Security Hub CSPM consiglia di migrare i domini Elasticsearch pubblici VPCs per sfruttare questi controlli.

### Correzione
<a name="es-2-remediation"></a>

Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo in un VPC in un secondo momento. Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se si crea un dominio all'interno di un VPC, non può avere un endpoint pubblico. È invece necessario [creare un altro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) o disabilitare questo controllo.

Consulta [Lanciare i tuoi domini Amazon OpenSearch Service all'interno di un VPC nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) *Amazon OpenSearch * Service Developer Guide.

## [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
<a name="es-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un dominio Elasticsearch ha node-to-node la crittografia abilitata. Il controllo ha esito negativo se il dominio Elasticsearch non ha la crittografia abilitata. node-to-node Il controllo produce risultati non riusciti anche se una versione di Elasticsearch non supporta i controlli di crittografia. node-to-node 

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della node-to-node crittografia per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito.

Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione. 

### Correzione
<a name="es-3-remediation"></a>

Per informazioni sull'attivazione della node-to-node crittografia su domini nuovi ed esistenti, consulta [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) nella *Amazon OpenSearch Service Developer Guide*.

## [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch
<a name="es-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoria:** Identificazione - Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `logtype = 'error'`(non personalizzabile)

Questo controllo verifica se i domini Elasticsearch sono configurati per inviare log di errori a Logs. CloudWatch 

È necessario abilitare i log degli errori per i domini Elasticsearch e inviarli a Logs per la conservazione e la risposta. CloudWatch I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.

### Correzione
<a name="es-4-remediation"></a>

Per informazioni su come abilitare la pubblicazione dei log, consulta [Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) nella *Amazon OpenSearch Service Developer Guide*.

## [ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
<a name="es-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**AWS Config regola:** `elasticsearch-audit-logging-enabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**
+ `cloudWatchLogsLogGroupArnList`(non personalizzabile). Security Hub CSPM non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.

  Questa regola si applica `NON_COMPLIANT` se il gruppo di log CloudWatch Logs del dominio Elasticsearch non è specificato in questo elenco di parametri.

Questo controllo verifica se i domini Elasticsearch hanno la registrazione di controllo abilitata. Questo controllo ha esito negativo se un dominio Elasticsearch non ha la registrazione di controllo abilitata. 

I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi cluster Elasticsearch, inclusi i successi e gli errori di autenticazione, le richieste, le modifiche all' OpenSearchindice e le query di ricerca in arrivo.

### Correzione
<a name="es-5-remediation"></a>

Per istruzioni dettagliate sull'abilitazione dei log di controllo, consulta [Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service Developer Guide*.

## [ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
<a name="es-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**AWS Config regola:** `elasticsearch-data-node-fault-tolerance` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi di dati e lo è. `zoneAwarenessEnabled` `true`

Un dominio Elasticsearch richiede almeno tre nodi di dati per un'elevata disponibilità e tolleranza agli errori. L'implementazione di un dominio Elasticsearch con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.

### Correzione
<a name="es-6-remediation"></a>

**Per modificare il numero di nodi di dati in un dominio Elasticsearch**

1. Apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. In **Domini**, scegli il nome del dominio che desideri modificare.

1. Scegli **Modifica dominio**.

1. In **Nodi di dati**, imposta **Numero di nodi** su un numero maggiore o uguale a`3`.

   Per tre implementazioni con zone di disponibilità, imposta un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.

1. Seleziona **Invia**.

## [ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
<a name="es-7"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**AWS Config regola:** `elasticsearch-primary-node-fault-tolerance` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi primari dedicati. Questo controllo ha esito negativo se il dominio non utilizza nodi primari dedicati. Questo controllo viene eseguito se i domini Elasticsearch hanno cinque nodi primari dedicati. Tuttavia, l'utilizzo di più di tre nodi primari potrebbe non essere necessario per mitigare il rischio di disponibilità e comportare costi aggiuntivi.

Un dominio Elasticsearch richiede almeno tre nodi primari dedicati per l'elevata disponibilità e la tolleranza agli errori. Le risorse dedicate dei nodi primari possono essere sovraccariche durante le blue/green implementazioni dei nodi dati perché ci sono nodi aggiuntivi da gestire. L'implementazione di un dominio Elasticsearch con almeno tre nodi primari dedicati garantisce una sufficiente capacità di risorse del nodo primario e operazioni del cluster in caso di guasto di un nodo.

### Correzione
<a name="es-7-remediation"></a>

**Per modificare il numero di nodi primari dedicati in un dominio OpenSearch**

1. Apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. In **Domini**, scegli il nome del dominio che desideri modificare.

1. Scegli **Modifica dominio**.

1. In **Nodi master dedicati**, imposta il **tipo di istanza sul tipo di** istanza desiderato.

1. Imposta **il numero di nodi master** pari o superiore a tre.

1. Seleziona **Invia**.

## [ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS
<a name="es-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), (2), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**AWS Config regola:** `elasticsearch-https-required` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un endpoint del dominio Elasticsearch è configurato per utilizzare la politica di sicurezza TLS più recente. Il controllo fallisce se l'endpoint del dominio Elasticsearch non è configurato per utilizzare la politica supportata più recente o se non è abilitato. HTTPs L'ultima politica di sicurezza TLS attualmente supportata è. `Policy-Min-TLS-1-2-PFS-2023-10`

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. TLS 1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di TLS.

### Correzione
<a name="es-8-remediation"></a>

Per abilitare la crittografia TLS, utilizzate l'operazione [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API per configurare l'oggetto. [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html) Questo imposta il. `TLSSecurityPolicy`

## [ES.9] I domini Elasticsearch devono essere etichettati
<a name="es-9"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Elasticsearch::Domain`

**AWS Config regola:** `tagged-elasticsearch-domain` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un dominio Elasticsearch ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="es-9-remediation"></a>

Per aggiungere tag a un dominio Elasticsearch, consulta [Working with tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) nella *Amazon OpenSearch Service Developer Guide*.

# Controlli CSPM del Security Hub per Amazon EMR
<a name="emr-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
<a name="emr-1"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::EMR::Cluster`

**AWS Config regola: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Questo controllo verifica se i nodi master sui cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo fallisce se gli indirizzi IP pubblici sono associati a una qualsiasi delle istanze del nodo master.

Gli indirizzi IP pubblici sono indicati nel `PublicIp` campo della `NetworkInterfaces` configurazione dell'istanza. Questo controllo controlla solo i cluster Amazon EMR che si trovano in uno `RUNNING` stato or. `WAITING`

### Correzione
<a name="emr-1-remediation"></a>

Durante il lancio, puoi controllare se alla tua istanza in una sottorete predefinita o non predefinita viene assegnato un indirizzo pubblico. IPv4 Per impostazione predefinita, le sottoreti predefinite hanno questo attributo impostato su. `true` Le sottoreti non predefinite hanno l'attributo IPv4 public address impostato su`false`, a meno che non sia stato creato dalla procedura guidata di EC2 avvio dell'istanza di Amazon. In tal caso, l'attributo è impostato su. `true`

Dopo il lancio, non puoi dissociare manualmente un IPv4 indirizzo pubblico dalla tua istanza.

Per correggere un risultato non riuscito, è necessario avviare un nuovo cluster in un VPC con una sottorete privata con IPv4 l'attributo di indirizzamento pubblico impostato su. `false` Per istruzioni, consulta [Launch clusters in un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) nella *Amazon EMR* Management Guide.

## [EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
<a name="emr-2"></a>

**Requisiti correlati:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il tuo account è configurato con l'accesso pubblico a blocchi di Amazon EMR. Il controllo fallisce se l'impostazione di blocco dell'accesso pubblico non è abilitata o se è consentita una porta diversa dalla porta 22.

L'accesso pubblico a blocchi di Amazon EMR impedisce l'avvio di un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Quando un utente dal tuo Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 o IPv6 : :/0 e tali porte non sono specificate come eccezioni per il tuo account, Amazon EMR non consente all'utente di creare il cluster.

**Nota**  
Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.

### Correzione
<a name="emr-2-remediation"></a>

Per configurare l'accesso pubblico a blocchi per Amazon EMR, consulta Using [Amazon EMR block public access nella](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR* Management Guide.

## [EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive
<a name="emr-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia a riposo abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia a riposo.

I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="emr-3-remediation"></a>

Per abilitare la crittografia a riposo in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*

## [EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
<a name="emr-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, 3, 3 ( NIST.800-53.r5 SC-23) NIST.800-53.r5 SC-2

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia in transito abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia in transito.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

### Correzione
<a name="emr-4-remediation"></a>

Per abilitare la crittografia in transito in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*

# Controlli CSPM Security Hub per EventBridge
<a name="eventbridge-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il EventBridge servizio e le risorse Amazon.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
<a name="eventbridge-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Events::EventBus`

**AWS Config regola:** `tagged-events-eventbus` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un bus di EventBridge eventi Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il bus degli eventi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il bus di eventi non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="eventbridge-2-remediation"></a>

Per aggiungere tag a un bus di EventBridge eventi, consulta i [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) nella *Amazon EventBridge User Guide*.

## [EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata
<a name="eventbridge-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Events::EventBus`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se a un bus di eventi EventBridge personalizzato Amazon è associata una policy basata sulle risorse. Questo controllo fallisce se il bus di eventi personalizzato non dispone di una politica basata sulle risorse.

Per impostazione predefinita, a un bus di eventi EventBridge personalizzato non è associata una policy basata sulle risorse. Ciò consente ai responsabili dell'account di accedere al bus degli eventi. Allegando una policy basata sulle risorse al bus degli eventi, è possibile limitare l'accesso al bus degli eventi a determinati account, nonché concedere intenzionalmente l'accesso alle entità in un altro account.

### Correzione
<a name="eventbridge-3-remediation"></a>

*Per allegare una policy basata sulle risorse a un bus di eventi EventBridge personalizzato, consulta [Using resource-based policies for Amazon EventBridge nella Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) User Guide. EventBridge *

## [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
<a name="eventbridge-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Events::Endpoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la replica degli eventi è abilitata per un endpoint EventBridge globale Amazon. Il controllo fallisce se la replica degli eventi non è abilitata per un endpoint globale.

Gli endpoint globali aiutano a rendere l'applicazione tollerante ai guasti regionali. Innanzitutto, devi assegnare un controllo dell'integrità Amazon Route 53 all'endpoint. Quando viene avviato il failover, il controllo dello stato segnala uno stato «non integro». Entro pochi minuti dall'avvio del failover, tutti gli eventi personalizzati vengono instradati a un router di eventi nella Regione secondaria e vengono elaborati da tale router di eventi. Quando utilizzi endpoint globali, puoi abilitare la replica degli eventi. La replica degli eventi invia tutti gli eventi personalizzati ai router di eventi nelle Regioni primarie e secondarie utilizzando regole gestite. Si consiglia di abilitare la replica degli eventi durante la configurazione degli endpoint globali. La replica degli eventi consente di verificare la corretta configurazione degli endpoint globali. La replica degli eventi è necessaria per il ripristino automatico da un evento di failover. Se non hai abilitato la replica degli eventi, dovrai reimpostare manualmente il controllo di integrità della Route 53 su «integro» prima che gli eventi vengano reindirizzati alla regione principale.

**Nota**  
Se utilizzi bus di eventi personalizzati, avrai bisogno di un bus pari personalizzato in ogni regione con lo stesso nome e nello stesso account affinché il failover funzioni correttamente. L'abilitazione della replica degli eventi può aumentare i costi mensili. Per informazioni sui prezzi, consulta la pagina [ EventBridge dei prezzi di Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Correzione
<a name="eventbridge-4-remediation"></a>

Per abilitare la replica degli eventi per gli endpoint EventBridge globali, consulta [Create a global endpoint](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) nella *Amazon EventBridge * User Guide. **Per la **replica degli eventi, seleziona Replica degli** eventi abilitata.**

# Controlli CSPM di Security Hub per Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Questi controlli CSPM di Security Hub valutano il servizio e le risorse di Amazon Fraud Detector.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
<a name="frauddetector-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FraudDetector::EntityType`

**Regola AWS Config : ** `frauddetector-entity-type-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un tipo di entità Amazon Fraud Detector ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il tipo di entità non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il tipo di entità non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="frauddetector-1-remediation"></a>

**Per aggiungere tag a un tipo di entità Amazon Fraud Detector (console)**

1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. **Nel pannello di navigazione, scegli Entità.**

1. Seleziona un tipo di entità dall'elenco.

1. Nella sezione **tag del tipo di entità**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## [FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
<a name="frauddetector-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FraudDetector::Label`

**Regola AWS Config : ** `frauddetector-label-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'etichetta Amazon Fraud Detector contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'etichetta non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'etichetta non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="frauddetector-2-remediation"></a>

**Per aggiungere tag a un'etichetta Amazon Fraud Detector (console)**

1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. **Nel pannello di navigazione, scegli Etichette.**

1. Seleziona un'etichetta dall'elenco.

1. Nella sezione **etichette e tag**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## [FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
<a name="frauddetector-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FraudDetector::Outcome`

**Regola AWS Config : ** `frauddetector-outcome-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un risultato di Amazon Fraud Detector presenta tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il risultato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il risultato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="frauddetector-3-remediation"></a>

**Per aggiungere tag a un risultato di Amazon Fraud Detector (console)**

1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. **Nel riquadro di navigazione, scegli Risultati.**

1. Seleziona un risultato dall'elenco.

1. Nella sezione dei **tag dei risultati**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

## [FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
<a name="frauddetector-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FraudDetector::Variable`

**Regola AWS Config : ** `frauddetector-variable-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se una variabile Amazon Fraud Detector contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la variabile non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la variabile non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="frauddetector-4-remediation"></a>

**Per aggiungere tag a una variabile Amazon Fraud Detector (console)**

1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. **Nel pannello di navigazione, scegli Variabili.**

1. Seleziona una variabile dall'elenco.

1. Nella sezione dei **tag delle variabili**, scegli **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.

1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.

# Controlli CSPM Security Hub per Amazon FSx
<a name="fsx-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il FSx servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
<a name="fsx-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FSx::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un file system Amazon FSx for OpenZFS è configurato per copiare i tag su backup e volumi. Il controllo fallisce se il file system OpenZFS non è configurato per copiare i tag su backup e volumi.

L'identificazione e l'inventario delle risorse IT sono un aspetto importante della governance e della sicurezza. I tag consentono di classificare AWS le risorse in diversi modi, ad esempio per scopo, proprietario o ambiente. Ciò è utile quando si dispone di molte risorse dello stesso tipo, in quanto è possibile identificare rapidamente una risorsa specifica in base ai tag che le sono stati assegnati.

### Correzione
<a name="fsx-1-remediation"></a>

Per informazioni sulla configurazione di un file system FSx for OpenZFS per copiare i tag su backup e volumi, consulta [Updating a file system nella](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) *Amazon FSx for* OpenZFS User Guide.

## [FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
<a name="fsx-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8

**Categoria**: Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::FSx::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un file system Amazon FSx for Lustre è configurato per copiare i tag su backup e volumi. Il controllo fallisce se il file system Lustre non è configurato per copiare i tag su backup e volumi.

L'identificazione e l'inventario delle risorse IT sono un aspetto importante della governance e della sicurezza. I tag consentono di classificare AWS le risorse in diversi modi, ad esempio per scopo, proprietario o ambiente. Ciò è utile quando si dispone di molte risorse dello stesso tipo, in quanto è possibile identificare rapidamente una risorsa specifica in base ai tag che le sono stati assegnati.

### Correzione
<a name="fsx-2-remediation"></a>

Per informazioni sulla configurazione di un file system FSx for Lustre per copiare i tag nei backup, [consulta Copiare i backup all'interno dello stesso nella](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) *Amazon FSx * for Lustre Account AWS User Guide.

## [FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
<a name="fsx-3"></a>

**Categoria: Recupero > Resilienza** > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::FSx::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** `deploymentTypes: MULTI_AZ_1` (non personalizzabile)

Questo controllo verifica se un file system Amazon FSx for OpenZFS è configurato per utilizzare il tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare il tipo di implementazione Multi-AZ.

*Amazon FSx for OpenZFS supporta diversi tipi di implementazione per i file system: *Multi-AZ (HA), Single-AZ (HA)* *e Single-AZ (non HA)*.* I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. I file system Multi-AZ (HA) sono composti da una coppia di file server ad alta disponibilità (HA) distribuiti su due zone di disponibilità (AZs). Consigliamo di utilizzare il tipo di implementazione Multi-AZ (HA) per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità che offre.

### Correzione
<a name="fsx-3-remediation"></a>

Puoi configurare un file system Amazon FSx for OpenZFS per utilizzare il tipo di distribuzione Multi-AZ quando crei il file system. Non puoi modificare il tipo di distribuzione di un file system esistente FSx per OpenZFS.

Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system OpenZFS, consulta [Disponibilità e durabilità FSx per Amazon for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) e [Gestione delle risorse del file system nella](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) Guida per l'utente di *Amazon FSx for* OpenZFS.

## [FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ
<a name="fsx-4"></a>

**Categoria:** Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::FSx::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Un elenco di tipi di distribuzione da includere nella valutazione. Il controllo genera un `FAILED` risultato se un file system non è configurato per utilizzare un tipo di distribuzione specificato nell'elenco.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Questo controllo verifica se un file system Amazon FSx for NetApp ONTAP è configurato per utilizzare un tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare un tipo di implementazione Multi-AZ. Facoltativamente, è possibile specificare un elenco di tipi di distribuzione da includere nella valutazione.

*Amazon FSx for NetApp ONTAP supporta diversi tipi di implementazione per i file system: *Single-AZ 1, Single-AZ* *2, Multi-AZ* *1 e Multi-AZ* 2.* I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. Consigliamo di utilizzare un tipo di implementazione Multi-AZ per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità fornito dai tipi di implementazione Multi-AZ. I file system Multi-AZ supportano tutte le funzionalità di disponibilità e durabilità dei file system Single-AZ. Inoltre, sono progettati per fornire una disponibilità continua dei dati anche quando una zona di disponibilità (AZ) non è disponibile.

### Correzione
<a name="fsx-4-remediation"></a>

Non puoi modificare il tipo di distribuzione per un file system Amazon FSx for NetApp ONTAP esistente. Tuttavia, puoi eseguire il backup dei dati e quindi ripristinarli su un nuovo file system che utilizza un tipo di distribuzione Multi-AZ.

Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system ONTAP, consulta [Disponibilità, durabilità e opzioni di implementazione e](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestione dei file system](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) nella Guida *FSx per l'utente di for ONTAP*. 

## [FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ
<a name="fsx-5"></a>

**Categoria:** Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::FSx::FileSystem`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** `deploymentTypes: MULTI_AZ_1` (non personalizzabile)

Questo controllo verifica se un file system Amazon FSx for Windows File Server è configurato per utilizzare il tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare il tipo di distribuzione Multi-AZ.

Amazon FSx for Windows File Server supporta due tipi di distribuzione per i file system: *Single-AZ e *Multi-AZ**. I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. I file system Single-AZ sono composti da una singola istanza di file server Windows e da un set di volumi di storage all'interno di un'unica zona di disponibilità (AZ). I file system Multi-AZ sono composti da un cluster ad alta disponibilità di file server Windows distribuiti su due zone di disponibilità. Consigliamo di utilizzare il tipo di implementazione Multi-AZ per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità che offre.

### Correzione
<a name="fsx-5-remediation"></a>

Puoi configurare un file system Amazon FSx for Windows File Server per utilizzare il tipo di distribuzione Multi-AZ quando crei il file system. Non puoi modificare il tipo di distribuzione di un file system esistente FSx per Windows File Server.

Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system Windows File Server, consulta [Disponibilità e durabilità: file system Single-AZ e Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) e [Guida introduttiva ad Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) nella Guida per *l'utente di Amazon FSx for Windows File Server*. 

# Controlli CSPM di Security Hub per Global Accelerator
<a name="globalaccelerator-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Global Accelerator servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
<a name="globalaccelerator-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config regola:** `tagged-globalaccelerator-accelerator` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS Global Accelerator acceleratore dispone di tag con i tasti specifici definiti nel parametro. `requiredTagKeys` Il controllo fallisce se l'acceleratore non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'acceleratore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="globalaccelerator-1-remediation"></a>

*Per aggiungere tag a un acceleratore globale Global Accelerator, consulta la sezione [Tagging in nella AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) Developer Guide.AWS Global Accelerator *

# Controlli CSPM Security Hub per AWS Glue
<a name="glue-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Glue servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Glue.1] i AWS Glue lavori devono essere etichettati
<a name="glue-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Glue::Job`

**AWS Config regola:** `tagged-glue-job` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un AWS Glue job ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="glue-1-remediation"></a>

Per aggiungere tag a un AWS Glue lavoro, consulta i [AWS tag AWS Glue nella Guida](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) per l'*AWS Glue utente*.

## [Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
<a name="glue-3"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::Glue::MLTransform`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri: No**

Questo controllo verifica se una trasformazione di AWS Glue machine learning è crittografata quando è inattiva. Il controllo fallisce se la trasformazione dell'apprendimento automatico non è crittografata a riposo.

I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="glue-3-remediation"></a>

*Per configurare la crittografia per le trasformazioni dell'apprendimento AWS Glue automatico, consulta [Lavorare con le trasformazioni dell'apprendimento automatico](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) nella Guida per l'utente.AWS Glue *

## [Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
<a name="glue-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), nIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::Glue::Job`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**`minimumSupportedGlueVersion`: `3.0` (non personalizzabile)

Questo controllo verifica se un job AWS Glue for Spark è configurato per l'esecuzione su una versione supportata di AWS Glue. Il controllo fallisce se il job Spark è configurato per l'esecuzione su una versione precedente alla versione minima supportata. AWS Glue 

**Nota**  
Questo controllo genera anche una `FAILED` ricerca per un job AWS Glue for Spark se la proprietà AWS Glue version (`GlueVersion`) non esiste o è nulla nell'elemento di configurazione (CI) per il lavoro. In questi casi, la scoperta include la seguente annotazione:. `GlueVersion is null or missing in glueetl job configuration` Per risolvere questo tipo di `FAILED` ricerca, aggiungi la `GlueVersion` proprietà alla configurazione del lavoro. Per un elenco delle versioni e degli ambienti di runtime supportati, consulta [AWS Glue Versioni](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) nella *Guida AWS Glue per l'utente*.

L'esecuzione dei job AWS Glue Spark sulle versioni correnti di AWS Glue può ottimizzare le prestazioni, la sicurezza e l'accesso alle funzionalità più recenti di AWS Glue. Può anche aiutare a proteggere dalle vulnerabilità di sicurezza. Ad esempio, potrebbe essere rilasciata una nuova versione per fornire aggiornamenti di sicurezza, risolvere problemi o introdurre nuove funzionalità.

### Correzione
<a name="glue-4-remediation"></a>

*Per informazioni sulla migrazione di un job Spark a una versione supportata di AWS Glue, consulta [Migrating AWS Glue for Spark jobs nella Guida per](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) l'utente.AWS Glue *

# Controlli CSPM Security Hub per Amazon GuardDuty
<a name="guardduty-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il GuardDuty servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty dovrebbe essere abilitato
<a name="guardduty-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 SA-1 1 (1), 1 (6) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 nist.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13) NIST.800-53.r5 SC-5, NIS.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (2), NIS.800-53.r5 SI-4 (22), NIS.800-53.r5 SI-4 (25), NIS.800-53.r5 SI-4 (4), NIS.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS versione 4.0.1/11.5.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se Amazon GuardDuty è abilitato nel tuo GuardDuty account e nella tua regione.

Si consiglia vivamente di abilitarlo GuardDuty in tutte le AWS regioni supportate. In questo modo è possibile GuardDuty generare informazioni su attività non autorizzate o insolite, anche nelle regioni che non vengono utilizzate attivamente. Ciò consente anche GuardDuty di monitorare CloudTrail eventi globali Servizi AWS come IAM.

### Correzione
<a name="guardduty-1-remediation"></a>

Per abilitarlo GuardDuty, consulta la sezione Guida [introduttiva GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) nella *Amazon GuardDuty User Guide*.

## [GuardDuty.2] GuardDuty i filtri devono essere etichettati
<a name="guardduty-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::GuardDuty::Filter`

**AWS Config regola:** `tagged-guardduty-filter` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un GuardDuty filtro Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il filtro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="guardduty-2-remediation"></a>

Per aggiungere tag a un GuardDuty filtro, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.

## [GuardDuty.3] GuardDuty IPSets deve essere taggato
<a name="guardduty-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::GuardDuty::IPSet`

**AWS Config regola:** `tagged-guardduty-ipset` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un Amazon GuardDuty IPSet dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se IPSet non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se IPSet non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="guardduty-3-remediation"></a>

Per aggiungere tag a GuardDuty IPSet, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.

## [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
<a name="guardduty-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**AWS Config regola:** `tagged-guardduty-detector` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un GuardDuty rilevatore Amazon dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="guardduty-4-remediation"></a>

Per aggiungere tag a un GuardDuty rilevatore, consulta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*Amazon GuardDuty API Reference.*

## [GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
<a name="guardduty-5"></a>

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Audit Log Monitoring è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno EKS Audit Log Monitoring abilitato.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzione EKS Audit Log Monitoring per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha abilitato GuardDuty EKS Audit Log Monitoring. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty

GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane).

### Correzione
<a name="guardduty-5-remediation"></a>

Per abilitare GuardDuty EKS Audit Log Monitoring, consulta [EKS Audit Log Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) nella *Amazon GuardDuty User Guide*.

## [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
<a name="guardduty-6"></a>

**Requisiti correlati:** PCI DSS v4.0.1/11.5.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. Per un account autonomo, il controllo fallisce se GuardDuty Lambda Protection è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione Lambda abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità Lambda Protection per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty

GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una AWS Lambda funzione. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i registri delle attività di rete Lambda associati alle funzioni Lambda del tuo. Account AWS Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty 

### Correzione
<a name="guardduty-6-remediation"></a>

*Per abilitare GuardDuty Lambda Protection, consulta [Configuring Lambda Protection](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) nella Amazon User Guide. GuardDuty *

## [GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
<a name="guardduty-7"></a>

**Requisiti correlati:** PCI DSS v4.0.1/11.5.1

**Categoria**: Rileva > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non dispongono di EKS Runtime Monitoring con la gestione automatizzata degli agenti abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità EKS Runtime Monitoring con gestione automatizzata degli agenti per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha GuardDuty EKS Runtime Monitoring abilitato. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty

EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo AWS ambiente. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS. 

### Correzione
<a name="guardduty-7-remediation"></a>

Per abilitare EKS Runtime Monitoring con la gestione automatizzata degli agenti, consulta [ GuardDuty Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.

## [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
<a name="guardduty-8"></a>

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la protezione GuardDuty da malware è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty da malware è disattivata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno la protezione antimalware abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione da malware per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty antimalware abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty

GuardDuty Malware Protection for EC2 ti aiuta a rilevare la potenziale presenza di malware scansionando i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) e ai carichi di lavoro dei container. Malware Protection offre opzioni di scansione in cui puoi decidere se includere o escludere istanze EC2 e carichi di lavoro dei container specifici al momento della scansione. Fornisce inoltre la possibilità di conservare le istantanee dei volumi EBS collegati alle istanze EC2 o ai carichi di lavoro dei container nei tuoi account. GuardDuty Gli snapshot vengono conservati solo in caso di rilevamento di malware e di generazione di esiti della protezione da malware. 

### Correzione
<a name="guardduty-8-remediation"></a>

*Per abilitare GuardDuty Malware Protection for EC2, consulta [Configuring GuardDuty -initiated malware scan nella](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) Amazon User Guide. GuardDuty *

## [GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata
<a name="guardduty-9"></a>

**Requisiti correlati:** PCI DSS v4.0.1/11.5.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la protezione GuardDuty RDS è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty RDS è disattivata nell'account. In un ambiente con più account, il controllo ha esito negativo se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione RDS abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione RDS per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty RDS abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty

RDS Protection in GuardDuty analisi e profila l'attività di accesso RDS per potenziali minacce di accesso ai database Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. La Protezione RDS non richiede un'infrastruttura aggiuntiva ed è progettata in modo da non influire negativamente sulle prestazioni delle istanze di database. Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, genera una nuova scoperta con dettagli sul database potenzialmente compromesso. GuardDuty 

### Correzione
<a name="guardduty-9-remediation"></a>

Per abilitare GuardDuty RDS Protection, consulta [GuardDuty RDS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) nella *Amazon GuardDuty User Guide*.

## [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
<a name="guardduty-10"></a>

**Requisiti correlati:** PCI DSS v4.0.1/11.5.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se GuardDuty S3 Protection è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty S3 Protection è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno S3 Protection abilitato.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione S3 per gli account membro dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty S3 abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty

S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi per la sicurezza dei dati all'interno dei bucket Amazon Simple Storage Service (Amazon S3). GuardDuty monitora le minacce contro le risorse S3 AWS CloudTrail analizzando gli eventi di gestione e gli eventi relativi ai dati S3. CloudTrail 

### Correzione
<a name="guardduty-10-remediation"></a>

Per abilitare GuardDuty S3 Protection, consulta [Amazon S3 Protection in Amazon nella GuardDuty * GuardDuty Amazon*](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) User Guide.

## [GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
<a name="guardduty-11"></a>

**Categoria:** Rileva > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il Runtime Monitoring è abilitato in Amazon GuardDuty. Per un account autonomo, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.

In un ambiente con più account, solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del GuardDuty runtime per gli account della propria organizzazione. Inoltre, solo l' GuardDuty amministratore può configurare e gestire gli agenti di sicurezza GuardDuty utilizzati per il monitoraggio in fase di esecuzione dei AWS carichi di lavoro e delle risorse per gli account dell'organizzazione. GuardDuty gli account dei membri non possono abilitare, configurare o disabilitare il monitoraggio del runtime per i propri account.

GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di AWS lavoro specifici del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. Puoi abilitare e gestire l'agente di sicurezza per ogni tipo di risorsa che desideri monitorare per rilevare potenziali minacce, come i cluster Amazon EKS e le istanze Amazon EC2.

### Correzione
<a name="guardduty-11-remediation"></a>

Per informazioni sulla configurazione e l'abilitazione del monitoraggio del GuardDuty runtime, consulta [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) e [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.

## [GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
<a name="guardduty-12"></a>

**Categoria:** Rileva > Servizi di rilevamento

**Gravità:** media

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio in fase di esecuzione dei cluster Amazon ECS su. AWS Fargate Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.

In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle risorse ECS-Fargate per gli account della propria organizzazione. GuardDuty gli account dei membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle risorse ECS-Fargate è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty

GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Ciò include i cluster Amazon ECS attivi. AWS Fargate

### Correzione
<a name="guardduty-12-remediation"></a>

Per abilitare e gestire l'agente di sicurezza per il monitoraggio del GuardDuty runtime delle risorse ECS-Fargate, è necessario utilizzare direttamente. GuardDuty Non è possibile abilitarlo o gestirlo manualmente per le risorse ECS-Fargate. Per informazioni sull'attivazione e la gestione del security agent, consulta [Prerequisiti per il supporto AWS Fargate (solo Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) e [Gestione dell'agente di sicurezza automatizzato per (solo AWS Fargate Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) nella *Amazon GuardDuty * User Guide.

## [GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
<a name="guardduty-13"></a>

**Categoria:** Rileva > Servizi di rilevamento

**Gravità:** media

**Tipo di risorsa:** `AWS::GuardDuty::Detector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio del runtime delle istanze Amazon EC2. Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.

In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle istanze Amazon EC2 per gli account della propria organizzazione. GuardDuty gli account membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle istanze EC2 è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty

GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Sono incluse le istanze Amazon EC2.

### Correzione
<a name="guardduty-13-remediation"></a>

*Per informazioni sulla configurazione e la gestione dell'agente di sicurezza automatizzato per il monitoraggio del GuardDuty runtime delle istanze EC2, consulta [Prerequisiti per il supporto delle istanze Amazon EC2 e Abilitazione dell'agente di sicurezza automatizzato per le istanze](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [Amazon EC2 nella Amazon User](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) Guide. GuardDuty *

# Controlli CSPM Security Hub per AWS Identity and Access Management
<a name="iam-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Identity and Access Management (IAM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi
<a name="iam-1"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (10) NIST.800-53.r5 AC-2, (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.4, PCI DSS NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 v3.2.1/2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** alta

**Tipo di risorsa:** `AWS::IAM::Policy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `excludePermissionBoundaryPolicy: true`(non personalizzabile)

Questo controllo verifica se la versione predefinita delle politiche IAM (note anche come politiche gestite dai clienti) dispone dell'accesso come amministratore includendo un'istruzione `"Effect": "Allow"` con `"Action": "*"` over`"Resource": "*"`. Il controllo fallisce se si dispone di politiche IAM con una dichiarazione di questo tipo.

Il controllo verifica solo le policy gestite dal cliente create dall'utente. Non verifica le politiche in linea e AWS gestite.

Le politiche IAM definiscono una serie di privilegi concessi a utenti, gruppi o ruoli. Seguendo i consigli di sicurezza standard, si AWS consiglia di concedere il privilegio minimo, il che significa concedere solo le autorizzazioni necessarie per eseguire un'attività. Quando si forniscono privilegi amministrativi completi anziché il set di autorizzazioni minimo di cui l'utente ha bisogno, si espongono le risorse a operazioni potenzialmente indesiderate.

Anziché consentire privilegi di amministratore completi, determina ciò che gli utenti devono fare e crea le policy su misura che permettono agli utenti di eseguire solo tali attività. È più sicuro iniziare con un set di autorizzazioni minimo e concedere autorizzazioni aggiuntive quando necessario. Non iniziare con autorizzazioni troppo permissive e cercare di limitarle in un secondo momento.

È necessario rimuovere le policy IAM che hanno una dichiarazione `"Effect": "Allow" ` con `"Action": "*"` over. `"Resource": "*"`

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-1-remediation"></a>

Per modificare le policy IAM in modo che non consentano i privilegi amministrativi «\$1» completi, consulta [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *IAM User Guide*.

## [IAM.2] Gli utenti IAM non devono avere policy IAM allegate
<a name="iam-2"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16, NIST.800-53.r5 AC-2 (1), (15), (7), (3), NIST.800-171.r2 3.1.1, NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-2, NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7 -171.r2 3.3.9, NIST.800-171.r2 3.13.3, PCI DSS versione 3.2.1/7.2.1 AWS NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se gli utenti IAM hanno delle policy allegate. Il controllo fallisce se gli utenti IAM hanno delle policy allegate. Gli utenti IAM devono invece ereditare le autorizzazioni dai gruppi IAM o assumere un ruolo.

Per impostazione predefinita, gli utenti, i gruppi e i ruoli IAM non hanno accesso alle AWS risorse. Le policy IAM concedono privilegi a utenti, gruppi o ruoli. Ti consigliamo di applicare le policy IAM direttamente ai gruppi e ai ruoli ma non agli utenti. L'assegnazione di privilegi a livello di gruppo o ruolo riduce la complessità di gestione degli accessi, se il numero di utenti cresce. La riduzione della complessità di gestione degli accessi potrebbe a sua volta ridurre l'opportunità per un principale di ricevere o mantenere inavvertitamente privilegi eccessivi. 

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola regione, è possibile disabilitare questo controllo in tutte le regioni tranne la regione in cui si registrano le risorse globali.

### Correzione
<a name="iam-2-remediation"></a>

Per risolvere questo problema, [crea un gruppo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) e allega la policy al gruppo. Quindi, [aggiungi gli utenti al gruppo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La policy viene applicata a ogni utente nel gruppo. Per rimuovere una policy collegata direttamente a un utente, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente IAM*.

## [IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
<a name="iam-3"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.13, benchmark CIS AWS Foundations v3.0.0/1.14, benchmark CIS Foundations v1.4.0/1.14, benchmark CIS AWS Foundations v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media 

**Tipo di risorsa:** `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `maxAccessKeyAge`: `90` (non personalizzabile)

Questo controllo verifica se le chiavi di accesso attive vengono ruotate entro 90 giorni.

Ti consigliamo vivamente di non generare e rimuovere tutte le chiavi di accesso nell'account. Invece, la best practice consigliata consiste nel creare uno o più ruoli IAM o utilizzare la [federazione](https://aws.amazon.com/identity/federation/) tramite AWS IAM Identity Center. Puoi utilizzare questi metodi per consentire agli utenti di accedere a Console di gestione AWS e AWS CLI.

Ogni approccio ha i suoi casi d'uso. La federazione è generalmente la soluzione migliore per le aziende che dispongono di una directory centrale esistente o che prevedono di aver bisogno di più del limite attuale per gli utenti IAM. Le applicazioni eseguite all'esterno di un AWS ambiente necessitano di chiavi di accesso per l'accesso programmatico alle AWS risorse.

Tuttavia, se le risorse che richiedono l'accesso programmatico vengono eseguite all'interno AWS, la migliore pratica consiste nell'utilizzare i ruoli IAM. I ruoli consentono di concedere l'accesso a una risorsa senza codificare l'ID chiave di accesso e la chiave di accesso segreta nella configurazione.

Per ulteriori informazioni sulla protezione delle chiavi di accesso e dell'account, consulta [le migliori pratiche per la gestione delle chiavi di AWS accesso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) nel *Riferimenti generali di AWS*. Consulta anche il post del blog [Linee guida per proteggere l'utente Account AWS durante l'utilizzo dell'accesso programmatico](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Se disponi già di una chiave di accesso, Security Hub CSPM consiglia di ruotare le chiavi di accesso ogni 90 giorni. La rotazione delle chiavi di accesso riduce la possibilità di utilizzo di una chiave di accesso associata a un account compromesso o chiuso. Garantisce inoltre che i dati non possano essere accessibili con una vecchia chiave che potrebbe essere stata persa, decifrata o rubata. Aggiorna sempre le applicazioni dopo aver ruotato le chiavi di accesso. 

Le chiavi di accesso sono composte da un ID chiave di accesso e una chiave di accesso segreta. Vengono utilizzate per firmare le richieste programmatiche inviate dall'utente. AWS Gli utenti necessitano delle proprie chiavi di accesso per effettuare chiamate programmatiche AWS da AWS CLI, Tools for Windows PowerShell AWS SDKs, the o chiamate HTTP dirette utilizzando le operazioni API per singoli utenti. Servizi AWS

Se la tua organizzazione utilizza AWS IAM Identity Center (IAM Identity Center), i tuoi utenti possono accedere ad Active Directory, a una directory IAM Identity Center integrata o a [un altro provider di identità (IdP) connesso a IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Center. Possono quindi essere mappati su un ruolo IAM che consente loro di eseguire AWS CLI comandi o richiamare operazioni AWS API senza la necessità di chiavi di accesso. Per ulteriori informazioni, consulta [Configurazione dell'uso AWS IAM Identity Center nella Guida AWS CLI per](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) l'*AWS Command Line Interface utente*.

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-3-remediation"></a>

Per ruotare le chiavi di accesso più vecchie di 90 giorni, consulta [Rotating access keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) nella *IAM User* Guide. Segui le istruzioni per qualsiasi utente con una **chiave di accesso di età** superiore a 90 giorni.

## [IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
<a name="iam-4"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.3, benchmark CIS AWS Foundations v3.0.0/1.4, benchmark CIS Foundations v1.4.0/1.4, benchmark CIS AWS Foundations v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (7), (10), (), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Severità:** critica 

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se è presente la chiave di accesso dell'utente root. 

L'utente root è l'utente con più privilegi in un Account AWS. AWS le chiavi di accesso forniscono l'accesso programmatico a un determinato account.

Security Hub CSPM consiglia di rimuovere tutte le chiavi di accesso associate all'utente root. Ciò limita i vettori che possono essere utilizzati per compromettere l'account. Incoraggia inoltre la creazione e l'utilizzo di account basati sul ruolo che dispongono di meno privilegi. 

### Correzione
<a name="iam-4-remediation"></a>

Per eliminare la chiave di accesso dell'utente root, consulta [Eliminazione delle chiavi di accesso per l'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) nella *IAM User* Guide. Per eliminare le chiavi di accesso dell'utente root da un Account AWS ingresso AWS GovCloud (US), consulta [Eliminazione delle chiavi di accesso dell'utente root del mio AWS GovCloud (US) account nella Guida](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) per l'*AWS GovCloud (US) utente*.

## [IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console
<a name="iam-5"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.9, benchmark CIS AWS Foundations v3.0.0/1.10, benchmark CIS AWS Foundations v1.4.0/1.10, benchmark CIS AWS Foundations v1.2.0/1.2, NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l' AWS autenticazione a più fattori (MFA) è abilitata per tutti gli utenti IAM che utilizzano una password della console.

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione al di sopra di nome utente e password. Con l'MFA abilitata, quando un utente accede a un AWS sito Web, gli vengono richiesti il nome utente e la password. Inoltre, viene richiesto loro di immettere un codice di autenticazione dal dispositivo AWS MFA.

Ti consigliamo di abilitare MFA per tutti gli account che dispongono di una password della console. MFA è progettato per fornire una maggiore sicurezza per l'accesso alla console. L'entità principal di autenticazione deve possedere un dispositivo che genera una chiave legata al fattore tempo e deve essere a conoscenza delle credenziali.

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-5-remediation"></a>

*Per aggiungere MFA per gli utenti IAM, consulta [Using Multi-Factor Authentication (MFA) AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM User Guide.*

## [IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
<a name="iam-6"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.5, benchmark CIS AWS Foundations v3.0.0/1.6, benchmark CIS AWS Foundations v1.4.0/1.6, benchmark CIS AWS Foundations v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), (1), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoria:** Protezione > Gestione degli accessi sicuri

**Severità:** critica

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'utente Account AWS è abilitato a utilizzare un dispositivo hardware di autenticazione a più fattori (MFA) per accedere con le credenziali dell'utente root. Il controllo fallisce se l'autenticazione MFA hardware non è abilitata o se i dispositivi MFA virtuali sono autorizzati ad accedere con le credenziali dell'utente root.

Di conseguenza, un dispositivo MFA virtuale potrebbe non offrire lo stesso livello di sicurezza di un dispositivo hardware MFA. Ti consigliamo di utilizzare un dispositivo MFA virtuale solo in attesa dell'approvazione dell'acquisto dell'hardware o dell'arrivo dell'hardware. Per saperne di più, consulta [Assegnare un dispositivo MFA virtuale (console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)) nella Guida per *l'utente IAM*.

**Nota**  
Security Hub CSPM valuta questo controllo in base alla presenza di credenziali utente root (profilo di accesso) in un. Account AWS Il controllo genera `PASSED` risultati nei seguenti casi:  
Le credenziali dell'utente root sono presenti nell'account e la MFA hardware è abilitata per l'utente root.
Le credenziali dell'utente root non sono presenti nell'account.
Il controllo genera un `FAILED` risultato se le credenziali dell'utente root sono presenti nell'account e la MFA hardware non è abilitata per l'utente root.

### Correzione
<a name="iam-6-remediation"></a>

Per informazioni sull'attivazione dell'autenticazione MFA hardware per l'utente root, consulta l'[autenticazione a più fattori per un](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) utente Utente root dell'account AWS nella *IAM* User Guide.

## [IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide
<a name="iam-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9 versione 4.0.1/8.3.10.1, PCI DSS versione 4.0.1/8.6.3

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Richiede almeno un carattere maiuscolo nella password  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Richiede almeno un carattere minuscolo nella password  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireSymbols`  |  Richiede almeno un simbolo nella password  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireNumbers`  |  Richiedi almeno un numero nella password  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Numero minimo di caratteri nella password  |  Numero intero  |  `8` Da a `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Numero di rotazioni della password prima che una vecchia password possa essere riutilizzata  |  Numero intero  |  `12` Da a `24`  |  Nessun valore predefinito  | 
|  `MaxPasswordAge`  |  Numero di giorni prima della scadenza della password  |  Numero intero  |  `1` Da a `90`  |  Nessun valore predefinito  | 

Questo controllo verifica se la politica sulle password degli account per gli utenti IAM utilizza configurazioni complesse. Il controllo fallisce se la politica delle password non utilizza configurazioni complesse. A meno che non si forniscano valori di parametro personalizzati, Security Hub CSPM utilizza i valori predefiniti menzionati nella tabella precedente. I `MaxPasswordAge` parametri `PasswordReusePrevention` and non hanno un valore predefinito, quindi se si escludono questi parametri, Security Hub CSPM ignora il numero di rotazioni della password e l'età della password durante la valutazione di questo controllo.

Per accedere a, gli utenti IAM necessitano di Console di gestione AWS password. Come best practice, Security Hub CSPM consiglia vivamente di utilizzare la federazione anziché creare utenti IAM. La federazione consente agli utenti di utilizzare le credenziali aziendali esistenti per accedere a. Console di gestione AWS Utilizza AWS IAM Identity Center (IAM Identity Center) per creare o federare l'utente, quindi assumi un ruolo IAM in un account.

Per ulteriori informazioni sui provider di identità e sulla federazione, consulta [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) nella *Guida per l'utente IAM*. Per ulteriori informazioni su IAM Identity Center, consulta la [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Se è necessario utilizzare utenti IAM, Security Hub CSPM consiglia di imporre la creazione di password utente complesse. È possibile impostare una politica in materia di password Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password. Quando si crea o si modifica una politica in materia di password, la maggior parte delle impostazioni relative alle password viene applicata alla successiva modifica delle password da parte degli utenti. Alcune impostazioni vengono applicate immediatamente.

### Correzione
<a name="iam-7-remediation"></a>

Per aggiornare la politica sulle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*.

## [IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
<a name="iam-8"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1), (3), (15) NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-2 NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-3, PCI NIST.800-53.r5 AC-3 DSS v3.2.1/8.1.4, PCI DSS NIST.800-53.r5 AC-6 v4.0.1/8.2.6

**Categoria:** Protezione > Gestione degli accessi sicuri 

**Gravità:** media 

**Tipo di risorsa:** `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `maxCredentialUsageAge`: `90` (non personalizzabile)

Questo controllo verifica se gli utenti IAM dispongono di password o chiavi di accesso attive che non vengono utilizzate da 90 giorni.

Gli utenti IAM possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso. 

Security Hub CSPM consiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 90 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-8-remediation"></a>

Quando visualizzi le informazioni sull'utente nella console IAM, ci sono colonne relative **all'età della chiave di accesso**, **all'età della password** e all'**ultima attività**. Se il valore in una di queste colonne è maggiore di 90 giorni, rendi inattive le credenziali per tali utenti.

Puoi anche utilizzare i [report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 90 o più giorni. Puoi scaricare i report sulle credenziali in `.csv` formato dalla console IAM.

Dopo aver identificato gli account inattivi o le credenziali non utilizzate, disattivali. *Per istruzioni, consulta [Creazione, modifica o eliminazione di una password utente IAM (console) nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*

## [IAM.9] L'MFA deve essere abilitata per l'utente root
<a name="iam-9"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, benchmark CIS Foundations v3.0.0/1.5, benchmark CIS AWS Foundations v1.4.0/1.5, benchmark CIS AWS Foundations v1.2.0/1.13, (1), (1), (2), (6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoria:** Protezione > Gestione degli accessi sicuri 

**Severità:** critica

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'autenticazione a più fattori (MFA) è abilitata per l'utente root IAM di Account AWS un utente che accede a. Console di gestione AWS Il controllo fallisce se l'MFA non è abilitata per l'utente root dell'account.

L'utente root IAM di an Account AWS ha accesso completo a tutti i servizi e le risorse dell'account. Se l'MFA è abilitata, l'utente deve inserire un nome utente, una password e un codice di autenticazione dal proprio dispositivo AWS MFA per accedere a. Console di gestione AWS L'MFA aggiunge un ulteriore livello di protezione oltre a nome utente e password.

Questo controllo genera `PASSED` risultati nei seguenti casi:
+ Le credenziali dell'utente root sono presenti nell'account e l'MFA è abilitata per l'utente root.
+ Le credenziali dell'utente root non sono presenti nell'account.

Il controllo genera `FAILED` risultati se le credenziali dell'utente root sono presenti nell'account e l'MFA non è abilitata per l'utente root.

### Correzione
<a name="iam-9-remediation"></a>

*Per informazioni sull'attivazione della MFA per l'utente root di un Account AWS, consulta la sezione [Autenticazione a più fattori Utente root dell'account AWS nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)utente.AWS Identity and Access Management *

## [IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide
<a name="iam-10"></a>

**Requisiti correlati:** NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS versione 3.2.1/8.1.4, PCI DSS versione 3.2.1/8.2.3, PCI DSS versione 3.2.1/8.2.4, PCI DSS versione 3.2.1/8.2.5

**Categoria:** Protezione > Gestione degli accessi sicuri 

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la politica delle password degli account per gli utenti IAM utilizza le seguenti configurazioni PCI DSS minime.
+ `RequireUppercaseCharacters`— Richiede almeno un carattere maiuscolo nella password. L'impostazione predefinita è `true`.
+ `RequireLowercaseCharacters`— Richiede almeno un carattere minuscolo nella password. L'impostazione predefinita è `true`.
+ `RequireNumbers`— Richiedi almeno un numero nella password. L'impostazione predefinita è `true`.
+ `MinimumPasswordLength`— Lunghezza minima della password. (Impostazione predefinita = 7 o più)
+ `PasswordReusePrevention`— Numero di password prima di consentirne il riutilizzo. (Impostazione predefinita = 4)
+ `MaxPasswordAge`— Numero di giorni prima della scadenza della password. (Impostazione predefinita = 90)

**Nota**  
Il 30 maggio 2025, Security Hub CSPM ha rimosso questo controllo dallo standard PCI DSS v4.0.1. PCI DSS v4.0.1 ora richiede che le password abbiano un minimo di 8 caratteri. Questo controllo continua ad applicarsi allo standard PCI DSS v3.2.1, che ha requisiti di password diversi.  
[Per valutare le politiche relative alle password degli account rispetto ai requisiti PCI DSS v4.0.1, è possibile utilizzare il controllo IAM.7.](#iam-7) Questo controllo richiede che le password abbiano un minimo di 8 caratteri. Supporta anche valori personalizzati per la lunghezza della password e altri parametri. Il controllo IAM.7 fa parte dello standard PCI DSS v4.0.1 in Security Hub CSPM.

### Correzione
<a name="iam-10-remediation"></a>

*Per aggiornare la politica delle password per utilizzare la configurazione consigliata, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) l'utente IAM.*

## [IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
<a name="iam-11"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Protezione > Gestione degli accessi sicuri 

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.

Il CIS consiglia che la politica delle password richieda almeno una lettera maiuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

### Correzione
<a name="iam-11-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno una lettera maiuscola dell'alfabeto latino (**A—Z).

## [IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
<a name="iam-12"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Protezione > Gestione degli accessi sicuri 

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi. Il CIS consiglia che la politica delle password richieda almeno una lettera minuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

### Correzione
<a name="iam-12-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno una lettera minuscola dell'alfabeto latino (**A—Z).

## [IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
<a name="iam-13"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.r2 3.5.7

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.

Il CIS raccomanda che la politica delle password richieda almeno un simbolo. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

### Correzione
<a name="iam-13-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno un carattere non alfanumerico**.

## [IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
<a name="iam-14"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.

Il CIS consiglia che la politica delle password richieda almeno un numero. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

### Correzione
<a name="iam-14-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno un numero**.

## [IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14
<a name="iam-15"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.7, CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7 AWS AWS 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password abbiano almeno una determinata lunghezza.

Il CIS raccomanda che la politica delle password richieda una lunghezza minima della password di 14 caratteri. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

### Correzione
<a name="iam-15-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la lunghezza minima della password**, inserisci **14** o un numero maggiore.

## [IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
<a name="iam-16"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.8, CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.7 AWS AWS 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il numero di password da ricordare è impostato su 24. Il controllo ha esito negativo se il valore non è 24.

Le policy di gestione delle password di IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente.

Il CIS raccomanda che la politica in materia di password impedisca il riutilizzo delle password. Impedire il riutilizzo delle password consente di incrementare la resilienza dell'account rispetto a tentativi di accesso di forza bruta.

### Correzione
<a name="iam-16-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **Impedire il riutilizzo della password**, inserisci**24**.

## [IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno
<a name="iam-17"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Le policy relative alle password di IAM possono richiedere che le password vengano ruotate o scadute dopo un determinato numero di giorni.

Il CIS consiglia che la politica sulle password faccia scadere le password dopo 90 giorni o meno. La riduzione della durata della password aumenta la resilienza dell'account contro tentativi di accesso di forza bruta. Richiedere le modifiche regolari delle password è utile nelle seguenti situazioni:
+ Le password possono essere rubate o compromesse senza saperlo. Questo può accadere tramite compromissione del sistema, vulnerabilità del software o minacce interne.
+ Alcuni filtri Web aziendali e governativi o server proxy sono in grado di intercettare e registrare il traffico anche se è criptato.
+ Molte persone utilizzano la stessa password per molti sistemi diversi come lavoro, e-mail e personale.
+ Workstation dell'utente finale compromesse potrebbero includere un keystroke logger.

### Correzione
<a name="iam-17-remediation"></a>

Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **attivare la scadenza della password**, inserisci **90** o un numero inferiore.

## [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS
<a name="iam-18"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.16, CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI DSS v4.0.1/12.10.3 AWS AWS 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (non personalizzabile)
+ `policyUsageType`: `ANY` (non personalizzabile)

AWS fornisce un centro di supporto che può essere utilizzato per la notifica e la risposta agli incidenti, nonché per il supporto tecnico e il servizio clienti.

Crea un ruolo IAM per consentire agli utenti autorizzati di gestire gli incidenti con AWS Support. Implementando il privilegio minimo per il controllo degli accessi, un ruolo IAM richiederà una policy IAM appropriata per consentire l'accesso al centro di supporto per gestire gli incidenti con. Supporto

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-18-remediation"></a>

Per risolvere questo problema, crea un ruolo che consenta agli utenti autorizzati di gestire gli Supporto incidenti.

**Per creare il ruolo da utilizzare per l'accesso Supporto**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione IAM, scegli **Ruoli**, quindi scegli **Crea ruolo**.

1. Per **Tipo di ruolo**, scegli **Altro Account AWS**.

1. Per **ID account**, inserisci l' Account AWS ID Account AWS a cui desideri concedere l'accesso alle tue risorse.

   Se gli utenti o i gruppi che assumeranno questo ruolo si trovano nello stesso account, immettere il numero di account locale.
**Nota**  
L'amministratore dell'account specificato può concedere l'autorizzazione di assumere questo ruolo a qualsiasi utente in tale account. Per eseguire questa operazione, l'amministratore collega una policy all'utente o al gruppo che garantisce l'autorizzazione per l'operazione `sts:AssumeRole`. In tale policy, la risorsa deve essere l'ARN del ruolo.

1. Scegli **Successivo: autorizzazioni**.

1. Cercare la policy gestita `AWSSupportAccess`.

1. Selezionare la casella di controllo per la policy gestita `AWSSupportAccess`.

1. Scegli **Successivo: Tag**.

1. (Facoltativo) Per aggiungere metadati al ruolo, allega i tag come coppie chiave-valore.

   Per ulteriori informazioni sull'utilizzo dei tag in IAM, vedere [Tagging di utenti e ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.

1. Scegli **Prossimo: Rivedi**.

1. In **Nome ruolo**, immetti un nome per il ruolo.

   I nomi dei ruoli devono essere univoci all'interno del tuo. Account AWS Non rispettano la distinzione tra maiuscole e minuscole.

1. (Facoltativo) In **Descrizione ruolo**, immettere una descrizione per il nuovo ruolo.

1. Verificare il ruolo e scegliere **Create role (Crea ruolo)**.

## [IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
<a name="iam-19"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.3, NIST.800-171.r2 3.5.4, NIST.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.8.4.2, 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se gli utenti IAM hanno abilitato l'autenticazione a più fattori (MFA).

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-19-remediation"></a>

*Per aggiungere MFA per gli utenti IAM, consulta Enabling [MFA devices for users AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) IAM User Guide.*

## [IAM.20] Evita l'uso dell'utente root
<a name="iam-20"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/1.1 AWS 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IAM::User`

**AWS Config regola:** `use-of-root-account-test` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: periodica**

**Parametri:** nessuno

Questo controllo verifica se un Account AWS ha restrizioni sull'utilizzo dell'utente root. Il controllo valuta le seguenti risorse:
+ Argomenti su Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail sentieri
+ Filtri metrici associati ai sentieri CloudTrail 
+  CloudWatch Allarmi Amazon basati sui filtri

Questo controllo determina se `FAILED` una o più delle seguenti affermazioni sono vere:
+ Non esistono CloudTrail percorsi nell'account.
+ Un CloudTrail percorso è abilitato, ma non configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura.
+ Un CloudTrail trail è abilitato, ma non è associato a un gruppo di CloudWatch log Logs.
+ Il filtro metrico esatto prescritto dal Center for Internet Security (CIS) non viene utilizzato. Il filtro metrico prescritto è. `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`
+ Nell' CloudWatch account non sono presenti allarmi basati sul filtro metrico.
+ CloudWatch gli allarmi configurati per inviare notifiche all'argomento SNS associato non si attivano in base alla condizione di allarme.
+ L'argomento SNS non è conforme ai [vincoli per l'invio di un messaggio a un](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) argomento SNS.
+ L'argomento SNS non ha almeno un sottoscrittore.

Questo controllo determina `NO_DATA` se una o più delle seguenti affermazioni sono vere:
+ Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
+ Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.

Questo controllo determina `WARNING` se una o più delle seguenti affermazioni sono vere:
+ L'account corrente non possiede l'argomento SNS a cui si fa riferimento nell' CloudWatch avviso.
+ L'account corrente non ha accesso all'argomento SNS quando richiama l'API SNS. `ListSubscriptionsByTopic`

**Nota**  
Ti consigliamo di utilizzare gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta lo stato di controllo NO\$1DATA per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.

Come best practice, utilizzare le credenziali dell'utente root solo quando necessario per [eseguire attività](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) di gestione degli account e dei servizi. Applica le policy IAM direttamente ai gruppi e ai ruoli, ma non agli utenti. Per istruzioni sulla configurazione di un amministratore per l'uso quotidiano, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*.

### Correzione
<a name="iam-20-remediation"></a>

I passaggi per risolvere questo problema includono la configurazione di un argomento di Amazon SNS, CloudTrail un percorso, un filtro metrico e un allarme per il filtro metrico.

**Come creare un argomento Amazon SNS**

1. [Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. Crea un argomento Amazon SNS che riceva tutti gli allarmi CIS.

   Creare almeno un sottoscrittore all'argomento. Per ulteriori informazioni, consulta [Nozioni di base su Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.

Quindi, configura un attivo CloudTrail che si applichi a tutte le regioni. A questo scopo, seguire le fasi di correzione in [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1).

Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Crei il filtro metrico per quel gruppo di log.

Infine, crea il filtro metrico e l'allarme.

**Per creare un filtro parametri e allarme**

1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, selezionare **Log groups (Gruppi di log)**.

1. Seleziona la casella di controllo per il gruppo di log CloudWatch Logs associato al CloudTrail percorso che hai creato.

1. Da **Azioni**, scegli **Crea filtro metrico**.

1. In **Definisci modello**, procedi come segue:

   1. Copiare il seguente modello e incollarlo nel campo **Filter Pattern (Modello di filtro)**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Scegli **Next (Successivo)**.

1. In **Assegna metrica, effettuate** le seguenti operazioni:

   1. In **Nome filtro**, inserisci un nome per il filtro metrico.

   1. Per **Metric Namespace**, inserisci. **LogMetrics**

      Se utilizzi lo stesso namespace per tutti i filtri delle metriche dei log CIS, tutte le metriche di CIS Benchmark vengono raggruppate insieme.

   1. Per **Metric Name, inserisci un nome per la metrica**. Ricorda il nome della metrica. Dovrai selezionare la metrica quando crei l'allarme.

   1. In **Metric value (Valore parametro)**, inserisci **1**.

   1. Scegli **Next (Successivo)**.

1. In **Rivedi e crea**, verifica le informazioni che hai fornito per il nuovo filtro metrico. Quindi, scegli **Crea filtro metrico**.

1. Nel riquadro di navigazione, scegli **Gruppi di log**, quindi scegli il filtro che hai creato in Filtri **metrici**.

1. Seleziona la casella di controllo per il filtro. Scegli **Crea allarme**.

1. In **Specificare metriche e condizioni**, procedi come segue:

   1. In **Condizioni**, per **Soglia**, scegli **Statico**.

   1. Per **Definire la condizione di allarme**, scegli **Maggiore/Uguale.**

   1. Per **Definire il valore di soglia**, immettere. **1**

   1. Scegli **Next (Successivo)**.

1. In **Configura azioni**, procedi come segue:

   1. In **Attivazione dello stato di allarme**, scegli **In allarme**.

   1. In **Select an SNS topic** (Seleziona un argomento SNS), scegli **Select an existing SNS topic** (Seleziona un argomento SNS esistente).

   1. In **Invia una notifica a**, inserisci il nome dell'argomento SNS creato nella procedura precedente.

   1. Scegli **Next (Successivo)**.

1. In **Aggiungi nome e descrizione**, inserisci un **nome** e una **descrizione** per l'avviso, ad esempio**CIS-1.1-RootAccountUsage**. Quindi scegli **Successivo**.

1. In **Anteprima e crea**, rivedi la configurazione dell'allarme. Quindi scegli **Crea allarme**.

## [IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi
<a name="iam-21"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.1, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.2, NIST.800-171.r2 3.1.5, NIST.800-171.r2 3.1.7, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.13.3, NIST.800-171.r2 3.13.4

**Categoria:** Rileva > Gestione sicura degli accessi 

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IAM::Policy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `excludePermissionBoundaryPolicy`: `True` (non personalizzabile)

Questo controllo verifica se le policy basate sull'identità IAM che crei dispongono di istruzioni Allow che utilizzano la wildcard \$1 per concedere le autorizzazioni per tutte le azioni su qualsiasi servizio. Il controllo ha esito negativo se una dichiarazione di policy include with. `"Effect": "Allow"` `"Action": "Service:*"` 

Ad esempio, la seguente dichiarazione in una politica comporta un errore di ricerca.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

Il controllo ha esito negativo anche se si utilizza `"Effect": "Allow"` con`"NotAction": "service:*"`. In tal caso, l'`NotAction`elemento fornisce l'accesso a tutte le azioni di un Servizio AWS, ad eccezione delle azioni specificate in`NotAction`.

Questo controllo si applica solo alle politiche IAM gestite dal cliente. Non si applica alle policy IAM gestite da AWS.

Quando si assegnano le autorizzazioni a Servizi AWS, è importante definire l'ambito delle azioni IAM consentite nelle politiche IAM. È necessario limitare le azioni IAM solo alle azioni necessarie. Questo ti aiuta a fornire i permessi con privilegi minimi. Politiche eccessivamente permissive potrebbero portare a un aumento dei privilegi se le policy sono collegate a un principale IAM che potrebbe non richiedere l'autorizzazione.

In alcuni casi, potresti voler consentire azioni IAM con un prefisso simile, come e. `DescribeFlowLogs` `DescribeAvailabilityZones` In questi casi autorizzati, puoi aggiungere un carattere jolly con suffisso al prefisso comune. Ad esempio, `ec2:Describe*`.

Questo controllo passa se si utilizza un'azione IAM con prefisso e un carattere jolly con suffisso. Ad esempio, la seguente dichiarazione in una politica restituisce un risultato positivo.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Raggruppando le azioni IAM correlate in questo modo, puoi anche evitare di superare i limiti di dimensione delle policy IAM.

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-21-remediation"></a>

Per risolvere questo problema, aggiorna le policy IAM in modo che non consentano i privilegi amministrativi «\$1» completi. Per i dettagli su come modificare una policy IAM, consulta [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *IAM User Guide*.

## [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
<a name="iam-22"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.11, CIS AWS Foundations Benchmark v3.0.0/1.12, CIS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 AWS 3.1.2 AWS 

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::IAM::User`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se gli utenti IAM dispongono di password o chiavi di accesso attive che non vengono utilizzate da 45 giorni o più. A tal fine, verifica se il `maxCredentialUsageAge` parametro della AWS Config regola è uguale o superiore a 45.

Gli utenti possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso.

Il CIS consiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 45 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.

La AWS Config regola per questo controllo utilizza le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API, che vengono aggiornate solo ogni quattro ore. Le modifiche agli utenti IAM possono richiedere fino a quattro ore per essere visibili a questo controllo.

**Nota**  
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, è possibile abilitare la registrazione delle risorse globali in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

### Correzione
<a name="iam-22-remediation"></a>

Quando visualizzi le informazioni sull'utente nella console IAM, ci sono colonne relative **all'età della chiave di accesso**, **all'età della password** e all'**ultima attività**. Se il valore in una di queste colonne è superiore a 45 giorni, rendi inattive le credenziali di tali utenti.

Puoi anche utilizzare i [report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 45 o più giorni. Puoi scaricare i report sulle credenziali in `.csv` formato dalla console IAM.

Dopo aver identificato gli account inattivi o le credenziali non utilizzate, disattivali. *Per istruzioni, consulta [Creazione, modifica o eliminazione di una password utente IAM (console) nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*

## [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
<a name="iam-23"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regola:** `tagged-accessanalyzer-analyzer` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un analizzatore gestito da AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'analizzatore non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'analizzatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iam-23-remediation"></a>

Per aggiungere tag a un analizzatore, consulta [TagResourceAWS](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)*IAM Access Analyzer* API Reference.

## [IAM.24] I ruoli IAM devono essere etichettati
<a name="iam-24"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IAM::Role`

**AWS Config regola:** `tagged-iam-role` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un ruolo AWS Identity and Access Management (IAM) ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il ruolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il ruolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iam-24-remediation"></a>

*Per aggiungere tag a un ruolo IAM, consulta [Tagging IAM resources nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) User Guide.*

## [IAM.25] Gli utenti IAM devono essere etichettati
<a name="iam-25"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IAM::User`

**AWS Config regola:** `tagged-iam-user` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un utente AWS Identity and Access Management (IAM) dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'utente non dispone di alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'utente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iam-25-remediation"></a>

*Per aggiungere tag a un utente IAM, consulta [Tagging IAM resources nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) User Guide.*

## [IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi
<a name="iam-26"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.18, CIS AWS Foundations Benchmark v3.0.0/1.19 AWS 

**Categoria**: Identificazione > Conformità

**Gravità:** media

**Tipo di risorsa:** `AWS::IAM::ServerCertificate`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un certificato di SSL/TLS server attivo gestito in IAM è scaduto. Il controllo fallisce se il certificato del SSL/TLS server scaduto non viene rimosso.

Per abilitare le connessioni HTTPS al sito Web o all'applicazione in AWS, è necessario un certificato SSL/TLS del server. Puoi utilizzare IAM o AWS Certificate Manager (ACM) per archiviare e distribuire i certificati del server. Utilizza IAM come gestore di certificati solo quando devi supportare connessioni HTTPS in un ambiente Regione AWS non supportato da ACM. IAM crittografa in modo sicuro le chiavi private e archivia la versione crittografata nella memoria dei certificati SSL di IAM. IAM supporta la distribuzione di certificati server in tutte le regioni, ma è necessario ottenere il certificato da un provider esterno per utilizzarlo con. AWS Non puoi caricare un certificato ACM su IAM. Inoltre, non puoi gestire i tuoi certificati dalla console IAM. La rimozione SSL/TLS dei certificati scaduti elimina il rischio che un certificato non valido venga distribuito accidentalmente su una risorsa, il che può danneggiare la credibilità dell'applicazione o del sito Web sottostante.

### Correzione
<a name="iam-26-remediation"></a>

*Per rimuovere un certificato server da IAM, consulta [Managing server certificates in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) User Guide.*

## [IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.21, CIS AWS Foundations Benchmark v3.0.0/1.22 AWS 

**Categoria**: Protezione > Gestione sicura degli accessi > Policy IAM sicure

**Gravità:** media

**Tipo di risorsa:**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ «Policyarns»: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Questo controllo verifica se a un'identità IAM (utente, ruolo o gruppo) è associata la policy gestita. AWS `AWSCloudShellFullAccess` Il controllo fallisce se a un'identità IAM è associata la `AWSCloudShellFullAccess` policy.

AWS CloudShell fornisce un modo conveniente per eseguire i comandi CLI. Servizi AWS La policy AWS gestita `AWSCloudShellFullAccess` fornisce l'accesso completo a CloudShell, che consente la funzionalità di caricamento e download di file tra il sistema locale dell'utente e l' CloudShell ambiente. All'interno dell' CloudShell ambiente, un utente dispone delle autorizzazioni sudo e può accedere a Internet. Di conseguenza, l'associazione di questa policy gestita a un'identità IAM offre loro la possibilità di installare software per il trasferimento di file e spostare i dati CloudShell da server Internet esterni. Ti consigliamo di seguire il principio del privilegio minimo e di assegnare autorizzazioni più limitate alle tue identità IAM.

### Correzione
<a name="iam-27-remediation"></a>

*Per scollegare la `AWSCloudShellFullAccess` policy da un'identità IAM, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).*

## [IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
<a name="iam-28"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.19, CIS AWS Foundations Benchmark v3.0.0/1.20 AWS 

**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio dell'utilizzo privilegiato

**Gravità:** alta

**Tipo di risorsa:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un Account AWS ha un analizzatore di accesso esterno IAM Access Analyzer abilitato. Il controllo fallisce se l'account non ha un analizzatore di accesso esterno abilitato nell'area attualmente selezionata. Regione AWS

Gli analizzatori di accesso esterni IAM Access Analyzer aiutano a identificare le risorse, come i bucket Amazon Simple Storage Service (Amazon S3) o i ruoli IAM, condivisi con un'entità esterna. Questo ti aiuta a evitare l'accesso involontario alle tue risorse e ai tuoi dati. IAM Access Analyzer è regionale e deve essere abilitato in ogni regione. Per identificare le risorse condivise con responsabili esterni, un analizzatore di accessi utilizza il ragionamento basato sulla logica per analizzare le politiche basate sulle risorse nel tuo ambiente. AWS Quando si crea un analizzatore di accessi esterno, è possibile crearlo e attivarlo per l'intera organizzazione o per singoli account.

**Nota**  
Se un account fa parte di un'organizzazione in AWS Organizations, questo controllo non tiene conto degli analizzatori di accesso esterni che specificano l'organizzazione come zona di fiducia e sono abilitati per l'organizzazione nella regione corrente. Se l'organizzazione utilizza questo tipo di configurazione, valuta la possibilità di disabilitare questo controllo per gli account dei singoli membri dell'organizzazione nella regione.

### Correzione
<a name="iam-28-remediation"></a>

Per informazioni sull'attivazione di un analizzatore di accesso esterno in una regione specifica, consulta [Guida introduttiva a IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) nella *IAM* User Guide. È necessario abilitare un analizzatore in ogni regione in cui si desidera monitorare l'accesso alle risorse.

# Controlli CSPM di Security Hub per Amazon Inspector
<a name="inspector-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Inspector.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
<a name="inspector-1"></a>

Requisiti **correlati**: PCI DSS v4.0.1/11.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la EC2 scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon EC2 Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non EC2 hanno la scansione abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di EC2 scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon EC2 Inspector abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La EC2 scansione di Amazon Inspector estrae i metadati dalla tua istanza Amazon Elastic Compute Cloud ( EC2Amazon), quindi confronta questi metadati con le regole raccolte dagli avvisi di sicurezza per produrre risultati. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un agente SSM, consulta [Sistemi operativi supportati: Amazon EC2 scanning](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Correzione
<a name="inspector-1-remediation"></a>

*Per abilitare la EC2 scansione di Amazon Inspector, consulta [Attivazione delle scansioni nella Guida](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) per l'utente di Amazon Inspector.*

## [Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
<a name="inspector-2"></a>

**Requisiti correlati: PCI DSS v4.0.1/11.3.1**

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione ECR di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione ECR di Amazon Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non hanno abilitato la scansione ECR.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione ECR per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione ECR di Amazon Inspector abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry (Amazon ECR) alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi le scansioni Amazon Inspector per Amazon ECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Questo sostituisce la scansione di base, fornita gratuitamente da Amazon ECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector. La scansione avanzata offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla console Amazon ECR. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per le scansioni di base, AWS Security Hub CSPM tra cui Amazon EventBridge.

### Correzione
<a name="inspector-2-remediation"></a>

*Per abilitare la scansione Amazon Inspector ECR, consulta [Attivazione delle scansioni nella Guida per l'](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)utente di Amazon Inspector.*

## [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
<a name="inspector-3"></a>

**Requisiti correlati: PCI DSS v4.0.1/6.2.4, PCI** DSS v4.0.1/6.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione del codice Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione del codice Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione del codice Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione del codice Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha abilitato la scansione del codice Amazon Inspector Lambda. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione del codice Amazon Inspector Lambda analizza il codice dell'applicazione personalizzata all'interno di una AWS Lambda funzione alla ricerca di vulnerabilità del codice in base alle best practice di sicurezza. AWS La scansione del codice Lambda può rilevare difetti di iniezione, fughe di dati, crittografia debole o crittografia mancante nel codice. [Questa funzionalità è disponibile solo in alcuni casi specifici. Regioni AWS](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](#inspector-4)

### Correzione
<a name="inspector-3-remediation"></a>

*Per abilitare la scansione del codice Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*

## [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
<a name="inspector-4"></a>

**Requisiti correlati: PCI DSS v4.0.1/6.2.4, PCI** DSS v4.0.1/6.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione standard di Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione standard di Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione standard Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione standard Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione standard Amazon Inspector Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al codice e ai livelli delle funzioni. AWS Lambda Se Amazon Inspector rileva una vulnerabilità nelle dipendenze del pacchetto applicativo della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo. `Package Vulnerability` È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](#inspector-3) 

### Correzione
<a name="inspector-4-remediation"></a>

*Per abilitare la scansione standard di Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*

# Controlli CSPM Security Hub per AWS IoT
<a name="iot-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS IoT servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
<a name="iot-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::SecurityProfile`

**AWS Config regola:** `tagged-iot-securityprofile` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un profilo AWS IoT Device Defender di sicurezza ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il profilo di sicurezza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-1-remediation"></a>

*Per aggiungere tag a un profilo di AWS IoT Device Defender sicurezza, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

## [IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
<a name="iot-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::MitigationAction`

**AWS Config regola:** `tagged-iot-mitigationaction` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un'azione di AWS IoT Core mitigazione ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'azione di mitigazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'azione di mitigazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-2-remediation"></a>

*Per aggiungere tag a un'azione di AWS IoT Core mitigazione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

## [IoT.3] le AWS IoT Core dimensioni devono essere etichettate
<a name="iot-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::Dimension`

**AWS Config regola:** `tagged-iot-dimension` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una AWS IoT Core dimensione ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la dimensione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la dimensione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-3-remediation"></a>

*Per aggiungere tag a una AWS IoT Core dimensione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

## gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
<a name="iot-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::Authorizer`

**AWS Config regola:** `tagged-iot-authorizer` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS IoT Core autorizzatore dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'autorizzatore non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'autorizzatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-4-remediation"></a>

*Per aggiungere tag a un programma di AWS IoT Core autorizzazione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

## [IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
<a name="iot-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::RoleAlias`

**AWS Config regola:** `tagged-iot-rolealias` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un alias di AWS IoT Core ruolo ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'alias del ruolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'alias del ruolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-5-remediation"></a>

*Per aggiungere tag a un alias di AWS IoT Core ruolo, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

## [IoT.6] AWS IoT Core le politiche devono essere etichettate
<a name="iot-6"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoT::Policy`

**AWS Config regola:** `tagged-iot-policy` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una AWS IoT Core policy ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la policy non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la policy non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="iot-6-remediation"></a>

*Per aggiungere tag a una AWS IoT Core politica, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *

# Controlli CSPM Security Hub per AWS IoT Events
<a name="iotevents-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS IoT Events.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
<a name="iotevents-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTEvents::Input`

**Regola AWS Config : ** `iotevents-input-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un input AWS IoT Events ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'input non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'input non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotevents-1-remediation"></a>

Per aggiungere tag a un input di AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer Guide*.

## [Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
<a name="iotevents-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTEvents::DetectorModel`

**Regola AWS Config : ** `iotevents-detector-model-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un modello di rilevatore AWS IoT Events dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il modello del rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotevents-2-remediation"></a>

Per aggiungere tag a un modello di rilevatore AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer* Guide.

## [Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
<a name="iotevents-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTEvents::AlarmModel`

**Regola AWS Config : ** `iotevents-alarm-model-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un modello di allarme AWS IoT Events ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di allarme non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di allarme non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotevents-3-remediation"></a>

Per aggiungere tag a un modello di allarme AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer Guide*.

# Controlli CSPM Security Hub per IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il SiteWise servizio e le risorse AWS IoT.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
<a name="iotsitewise-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTSiteWise::AssetModel`

**Regola AWS Config : ** `iotsitewise-asset-model-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un modello di SiteWise asset AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di asset non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di asset non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotsitewise-1-remediation"></a>

Per aggiungere tag a un modello di SiteWise asset AWS IoT, consulta [Tagga AWS IoT SiteWise le tue risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.

## [Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
<a name="iotsitewise-2"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTSiteWise::Dashboard`

**Regola AWS Config : ** `iotsitewise-dashboard-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se una SiteWise dashboard AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la dashboard non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la dashboard non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotsitewise-2-remediation"></a>

Per aggiungere tag a una SiteWise dashboard AWS IoT, consulta [Tagga AWS IoT SiteWise le tue risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.

## [Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
<a name="iotsitewise-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTSiteWise::Gateway`

**Regola AWS Config : ** `iotsitewise-gateway-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un SiteWise gateway AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotsitewise-3-remediation"></a>

Per aggiungere tag a un SiteWise gateway AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.

## [Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
<a name="iotsitewise-4"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTSiteWise::Portal`

**Regola AWS Config : ** `iotsitewise-portal-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un SiteWise portale AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il portale non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il portale non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotsitewise-4-remediation"></a>

Per aggiungere tag a un SiteWise portale AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.

## [Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
<a name="iotsitewise-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTSiteWise::Project`

**Regola AWS Config : ** `iotsitewise-project-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un SiteWise progetto AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il progetto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il progetto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotsitewise-5-remediation"></a>

Per aggiungere tag a un SiteWise progetto AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.

# Controlli CSPM Security Hub per IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il TwinMaker servizio e le risorse AWS IoT.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
<a name="iottwinmaker-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTTwinMaker::SyncJob`

**Regola AWS Config : ** `iottwinmaker-sync-job-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un processo di TwinMaker sincronizzazione AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il processo di sincronizzazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il processo di sincronizzazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iottwinmaker-1-remediation"></a>

Per aggiungere tag a un processo di TwinMaker sincronizzazione AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.

## [Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
<a name="iottwinmaker-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTTwinMaker::Workspace`

**Regola AWS Config : ** `iottwinmaker-workspace-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un' TwinMaker area di lavoro AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'area di lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'area di lavoro non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iottwinmaker-2-remediation"></a>

Per aggiungere tag a un' TwinMaker area di lavoro AWS IoT, consulta [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guida per l'AWS IoT TwinMaker utente*.

## [Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
<a name="iottwinmaker-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTTwinMaker::Scene`

**Regola AWS Config : ** `iottwinmaker-scene-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se una TwinMaker scena AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la scena non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la scena non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iottwinmaker-3-remediation"></a>

Per aggiungere tag a una TwinMaker scena AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.

## [Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
<a name="iottwinmaker-4"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTTwinMaker::Entity`

**Regola AWS Config : ** `iottwinmaker-entity-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un' TwinMaker entità AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'entità non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'entità non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iottwinmaker-4-remediation"></a>

Per aggiungere tag a un' TwinMaker entità AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.

# Controlli CSPM del Security Hub per AWS IoT Wireless
<a name="iotwireless-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS IoT Wireless.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
<a name="iotwireless-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTWireless::MulticastGroup`

**Regola AWS Config : ** `iotwireless-multicast-group-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un gruppo multicast AWS IoT Wireless dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo ha esito negativo se il gruppo multicast non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo multicast non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotwireless-1-remediation"></a>

Per aggiungere tag a un gruppo multicast AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer* Guide.

## [Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
<a name="iotwireless-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTWireless::ServiceProfile`

**Regola AWS Config : ** `iotwireless-service-profile-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un profilo di servizio AWS IoT Wireless ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il profilo di servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo del servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotwireless-2-remediation"></a>

Per aggiungere tag a un profilo di servizio AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer Guide*.

## [Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
<a name="iotwireless-3"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IoTWireless::FuotaTask`

**Regola AWS Config : ** `iotwireless-fuota-task-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un'attività di aggiornamento del firmware AWS IoT Wireless over-the-air (FUOTA) ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'attività FUOTA non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività FUOTA non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="iotwireless-3-remediation"></a>

Per aggiungere tag a un'attività FUOTA AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer* Guide.

# Controlli CSPM del Security Hub per Amazon IVS
<a name="ivs-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Interactive Video Service (IVS).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
<a name="ivs-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IVS::PlaybackKeyPair`

**Regola AWS Config : ** `ivs-playback-key-pair-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se una coppia di chiavi di riproduzione Amazon IVS ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la coppia di chiavi di riproduzione non ha alcuna chiave tag o se non ha tutti i tasti specificati nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se la coppia di chiavi di riproduzione non è etichettata con alcun tasto. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="ivs-1-remediation"></a>

Per aggiungere tag a una coppia di key pair di riproduzione IVS, consulta il riferimento all'API di riferimento per *lo streaming [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)in tempo reale di Amazon IVS.*

## [IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
<a name="ivs-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IVS::RecordingConfiguration`

**Regola AWS Config : ** `ivs-recording configuration-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se una configurazione di registrazione Amazon IVS ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la configurazione di registrazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione di registrazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="ivs-2-remediation"></a>

Per aggiungere tag a una configurazione di registrazione IVS, consulta il riferimento [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)all'*API di Amazon IVS Real-Time Streaming*.

## [IVS.3] I canali IVS devono essere etichettati
<a name="ivs-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::IVS::Channel`

**Regola AWS Config : ** `ivs-channel-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un canale Amazon IVS ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il canale non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il canale non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="ivs-3-remediation"></a>

Per aggiungere tag a un canale IVS, consulta il riferimento [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)all'*API di Amazon IVS Real-Time Streaming*.

# Controlli CSPM di Security Hub per Amazon Keyspaces
<a name="keyspaces-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Keyspaces.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
<a name="keyspaces-1"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Cassandra::Keyspace`

**Regola AWS Config : ** `cassandra-keyspace-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se uno spazio di chiavi di Amazon Keyspaces contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se lo spazio delle chiavi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo spazio delle chiavi non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="keyspaces-1-remediation"></a>

*Per aggiungere tag a uno spazio di chiavi di Amazon Keyspaces, consulta [Aggiungere tag a uno spazio di chiavi nella Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Developer Guide.*

# Controlli CSPM Security Hub per Kinesis
<a name="kinesis-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Kinesis.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
<a name="kinesis-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-7 SI-7 ( NIST.800-53.r5 SC-26)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::Kinesis::Stream`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno 

Questo controllo verifica se i Kinesis Data Streams sono crittografati a riposo con la crittografia lato server. Questo controllo fallisce se un flusso Kinesis non è crittografato a riposo con la crittografia lato server.

La crittografia lato server è una funzionalità di Amazon Kinesis Data Streams che crittografa automaticamente i dati prima che siano inattivi utilizzando un. AWS KMS key I dati vengono crittografati prima di essere scritti sul livello di archiviazione del flusso Kinesis e vengono decrittografati dopo essere stati recuperati dall'archiviazione. Di conseguenza, i tuoi dati vengono crittografati quando sono inattivi all'interno del servizio Amazon Kinesis Data Streams.

### Correzione
<a name="kinesis-1-remediation"></a>

Per informazioni sull'attivazione della crittografia lato server per gli stream Kinesis, vedi [Come posso iniziare](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) con la crittografia lato server? nella *Amazon Kinesis Developer Guide*.

## [Kinesis.2] Gli stream Kinesis devono essere etichettati
<a name="kinesis-2"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Kinesis::Stream`

**AWS Config regola:** `tagged-kinesis-stream` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un flusso di dati di Amazon Kinesis contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il flusso di dati non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso di dati non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="kinesis-2-remediation"></a>

*Per aggiungere tag a un flusso di dati Kinesis, consulta [Tagging your stream in Amazon Kinesis Data Streams nella Amazon Kinesis Developer Guide](https://docs.aws.amazon.com/streams/latest/dev/tagging.html).*

## [Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
<a name="kinesis-3"></a>

**Gravità:** media

**Tipo di risorsa:** `AWS::Kinesis::Stream`

**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Numero minimo di ore di conservazione dei dati.  | Stringa  | Da 24 a 8760  | 168  | 

Questo controllo verifica se un flusso di dati di Amazon Kinesis ha un periodo di conservazione dei dati maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione dei dati è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione dei dati, Security Hub CSPM utilizza un valore predefinito di 168 ore.

In Kinesis Data Streams, un flusso di dati è una sequenza ordinata di record di dati pensati per essere scritti e letti in tempo reale. I record di dati vengono archiviati temporaneamente in frammenti del tuo stream. Il periodo di tempo dall'aggiunta di un record all'inaccessibilità viene chiamato il periodo di conservazione. Kinesis Data Streams rende quasi immediatamente inaccessibili i record più vecchi del nuovo periodo di conservazione dopo aver ridotto il periodo di conservazione. Ad esempio, modificando il periodo di conservazione da 24 ore a 48 ore significa che i record aggiunti al flusso 23 ore 55 minuti prima sono ancora disponibili dopo 24 ore. 

### Correzione
<a name="kinesis-3-remediation"></a>

Per modificare il periodo di conservazione dei backup per Kinesis Data Streams[, consulta Modifica del periodo di conservazione dei dati](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *nella Amazon Kinesis Data Streams Developer* Guide.

# Controlli CSPM Security Hub per AWS KMS
<a name="kms-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio AWS Key Management Service (AWS KMS) e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS
<a name="kms-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::IAM::Policy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personalizzabile)
+ `excludePermissionBoundaryPolicy`: `True` (non personalizzabile)

Verifica se la versione predefinita delle policy gestite dai clienti di IAM consente ai responsabili di utilizzare le azioni di AWS KMS decrittografia su tutte le risorse. Il controllo fallisce se la policy è sufficientemente aperta da consentire `kms:ReEncryptFrom` azioni `kms:Decrypt` o azioni su tutte le chiavi KMS.

Il controllo controlla solo le chiavi KMS nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una politica. Inoltre, il controllo valuta le politiche gestite dal cliente sia allegate che non collegate. Non verifica le politiche in linea o AWS le politiche gestite.

Con AWS KMS, puoi controllare chi può utilizzare le tue chiavi KMS e accedere ai tuoi dati crittografati. Le policy IAM definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le `kms:ReEncryptFrom` autorizzazioni `kms:Decrypt` or e solo le chiavi necessarie per eseguire un'operazione. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.

Invece di concedere le autorizzazioni per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite `kms:Decrypt` l'autorizzazione su tutte le chiavi KMS. Consenti invece `kms:Decrypt` solo le chiavi in una particolare regione per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.

### Correzione
<a name="kms-1-remediation"></a>

*Per modificare una policy gestita dai clienti IAM, consulta [Modifica delle policy gestite dai clienti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) nella Guida per l'utente IAM.* Quando modifichi la tua policy, per il `Resource` campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.

## [KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS
<a name="kms-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personalizzabile)

Questo controllo verifica se le politiche in linea incorporate nelle identità IAM (ruolo, utente o gruppo) consentono le azioni di AWS KMS decrittografia e ricrittografia su tutte le chiavi KMS. Il controllo fallisce se la policy è sufficientemente aperta da consentire azioni `kms:Decrypt` o `kms:ReEncryptFrom` azioni su tutte le chiavi KMS.

Il controllo controlla solo le chiavi KMS nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una politica.

Con AWS KMS, puoi controllare chi può utilizzare le tue chiavi KMS e accedere ai tuoi dati crittografati. Le policy IAM definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.

Invece di concedere l'autorizzazione per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite `kms:Decrypt` l'autorizzazione su tutte le chiavi KMS. Consenti invece l'autorizzazione solo su chiavi specifiche in una regione specifica per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.

### Correzione
<a name="kms-2-remediation"></a>

*Per modificare una policy in linea IAM, consulta [Modifica delle policy in linea nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console).* Quando modifichi la tua policy, per il `Resource` campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.

## [KMS.3] AWS KMS keys non deve essere eliminato involontariamente
<a name="kms-3"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Severità:** critica

**Tipo di risorsa:** `AWS::KMS::Key`

**AWS Config regola:** `kms-cmk-not-scheduled-for-deletion-2` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se è prevista l'eliminazione delle chiavi KMS. Il controllo ha esito negativo se è pianificata l'eliminazione di una chiave KMS.

Le chiavi KMS non possono essere recuperate una volta eliminate. I dati crittografati con una chiave KMS sono inoltre permanentemente irrecuperabili se la chiave KMS viene eliminata. *Se i dati importanti sono stati crittografati con una chiave KMS programmata per l'eliminazione, prendi in considerazione la possibilità di decrittografare i dati o di ricrittografarli con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica.*

Quando si pianifica l'eliminazione di una chiave KMS, viene imposto un periodo di attesa obbligatorio per consentire di annullare l'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a soli 7 giorni se è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata.

*Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta [Eliminazione](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) delle chiavi KMS nella Guida per gli sviluppatori.AWS Key Management Service *

### Correzione
<a name="kms-3-remediation"></a>

*Per annullare l'eliminazione pianificata di una chiave KMS, consulta **Per annullare l'eliminazione di una chiave in Pianificazione e annullamento dell'eliminazione** [delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) (console) nella Guida per gli sviluppatori.AWS Key Management Service *

## [KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
<a name="kms-4"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.6, benchmark CIS Foundations v3.0.0/3.6, benchmark CIS AWS Foundations v1.4.0/3.8, benchmark CIS AWS Foundations v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS AWS v3.2.1/3.6.4, NIST.800-53.r5 SC-1 PCI DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::KMS::Key`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

AWS KMS consente ai clienti di ruotare la chiave di supporto, che è materiale chiave memorizzato AWS KMS ed è legato all'ID della chiave KMS. È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente.

CIS consiglia di abilitare la rotazione delle chiavi KMS. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta.

### Correzione
<a name="kms-4-remediation"></a>

*Per abilitare la rotazione delle chiavi KMS, vedi [Come abilitare e disabilitare la rotazione automatica delle chiavi nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) gli AWS Key Management Service sviluppatori.*

## [KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
<a name="kms-5"></a>

**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::KMS::Key`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS KMS key è accessibile pubblicamente. Il controllo fallisce se la chiave KMS è accessibile pubblicamente.

L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se la policy chiave di an AWS KMS key consente l'accesso da account esterni, terze parti potrebbero essere in grado di crittografare e decrittografare i dati utilizzando la chiave. Ciò potrebbe comportare una minaccia interna o esterna che esfiltra i dati da Servizi AWS chi utilizza la chiave.

**Nota**  
Questo controllo restituisce inoltre un `FAILED` risultato che indica AWS KMS key se le configurazioni in uso AWS Config impediscono di registrare la politica della chiave nell'elemento di configurazione (CI) per la chiave KMS. AWS Config Per compilare la policy chiave nella CI per la chiave KMS, il [AWS Config ruolo](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) deve avere accesso alla lettura della policy chiave utilizzando la chiamata API. [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) Per risolvere questo tipo di `FAILED` risultato, verifica le politiche che possono impedire al AWS Config ruolo di accedere in lettura alla politica chiave per la chiave KMS. Ad esempio, controlla quanto segue:  
La politica chiave per la chiave KMS.
[Politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) e [politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations che si applicano al tuo account.
Autorizzazioni per il AWS Config ruolo, se non si utilizza il ruolo collegato al [AWS Config servizio](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Inoltre, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy chiave devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'AWS Identity and Access Management utente*.

### Correzione
<a name="kms-5-remediation"></a>

Per informazioni sull'aggiornamento della politica chiave per un AWS KMS key, consulta [le politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Guida per gli AWS Key Management Service sviluppatori*.

# Controlli CSPM Security Hub per AWS Lambda
<a name="lambda-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Lambda servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
<a name="lambda-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/7.2.1, PCI DSS versione 4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::Lambda::Function`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la politica basata sulle risorse della funzione Lambda proibisce l'accesso pubblico all'esterno dell'account. Il controllo fallisce se è consentito l'accesso pubblico. Il controllo fallisce anche se una funzione Lambda viene richiamata da Amazon S3 e la policy non include una condizione per limitare l'accesso pubblico, ad esempio. `AWS:SourceAccount` Ti consigliamo di utilizzare altre condizioni S3 oltre alla tua policy sui bucket per un accesso più preciso. `AWS:SourceAccount`

**Nota**  
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy per la funzione Lambda devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.

La funzione Lambda non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso involontario al codice della funzione.

### Correzione
<a name="lambda-1-remediation"></a>

Per risolvere questo problema, è necessario aggiornare la politica basata sulle risorse della funzione per rimuovere le autorizzazioni o aggiungere la condizione. `AWS:SourceAccount` Puoi aggiornare la policy basata sulle risorse solo dall'API Lambda o. AWS CLI

Per iniziare, [consulta la policy basata sulle risorse sulla console](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) Lambda. Identifica la dichiarazione politica con valori di `Principal` campo che rendono pubblica la policy, ad esempio o. `"*"` `{ "AWS": "*" }`

Non è possibile modificare la policy dalla console. Per rimuovere le autorizzazioni dalla funzione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)comando da. AWS CLI

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Sostituisci `<function-name>` con il nome della funzione Lambda e `<statement-id>` con l'istruzione ID (`Sid`) dell'istruzione che desideri rimuovere.

## [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati
<a name="lambda-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoria:** Protezione > Sviluppo protetto

**Gravità:** media

**Tipo di risorsa:** `AWS::Lambda::Function`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (non personalizzabile)

Questo controllo verifica se le impostazioni di runtime della AWS Lambda funzione corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Il controllo fallisce se la funzione Lambda non utilizza un runtime supportato, come indicato nella sezione Parametri. Security Hub CSPM ignora le funzioni che hanno un tipo di pacchetto di. `Image`

I runtime Lambda si basano su una combinazione di sistema operativo, linguaggio di programmazione e librerie software soggette a manutenzione e aggiornamenti di sicurezza. Quando un componente di runtime non è più supportato per gli aggiornamenti di sicurezza, Lambda rende obsoleto il runtime. Anche se non è possibile creare funzioni che utilizzano il runtime obsoleto, la funzione è comunque disponibile per elaborare gli eventi di invocazione. Ti consigliamo di assicurarti che le tue funzioni Lambda siano aggiornate e non utilizzino ambienti di runtime obsoleti. *Per un elenco dei runtime supportati, consulta i runtime [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) nella AWS Lambda Developer Guide.*

### Correzione
<a name="lambda-2-remediation"></a>

*Per ulteriori informazioni sui runtime e sulle pianificazioni di obsolescenza supportati, consulta la politica di deprecazione del [runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) nella Developer Guide.AWS Lambda * Quando esegui la migrazione dei runtime alla versione più recente, segui la sintassi e le indicazioni fornite dagli editori del linguaggio. Consigliamo inoltre di applicare [gli aggiornamenti di runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) per ridurre il rischio di impatto sui carichi di lavoro nel raro caso di incompatibilità di una versione di runtime.

## [Lambda.3] Le funzioni Lambda devono trovarsi in un VPC
<a name="lambda-3"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Lambda::Function`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una funzione Lambda è implementata in un cloud privato virtuale (VPC). Il controllo fallisce se la funzione Lambda non è distribuita in un VPC. Security Hub CSPM non valuta la configurazione del routing della sottorete VPC per determinare la raggiungibilità pubblica. È possibile che vengano visualizzati risultati non riusciti per le risorse Lambda @Edge.

L'implementazione di risorse in un VPC rafforza la sicurezza e il controllo sulle configurazioni di rete. Tali implementazioni offrono anche scalabilità e un'elevata tolleranza agli errori in più zone di disponibilità. È possibile personalizzare le implementazioni VPC per soddisfare diversi requisiti applicativi.

### Correzione
<a name="lambda-3-remediation"></a>

*Per configurare una funzione esistente per la connessione a sottoreti private nel tuo VPC, consulta Configuring [VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) access nella Developer Guide.AWS Lambda * Consigliamo di scegliere almeno due sottoreti private per un'elevata disponibilità e almeno un gruppo di sicurezza che soddisfi i requisiti di connettività della funzione.

## [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
<a name="lambda-5"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Lambda::Function`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Numero minimo di zone di disponibilità  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Questo controllo verifica se una AWS Lambda funzione che si connette a un cloud privato virtuale (VPC) opera almeno nel numero specificato di Availability Zone (AZs). Il controllo fallisce se la funzione non funziona almeno nel numero specificato di AZs. A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs

La distribuzione di risorse su più risorse AZs è una AWS best practice per garantire un'elevata disponibilità all'interno dell'architettura. La disponibilità è un pilastro fondamentale del modello di sicurezza della triade di riservatezza, integrità e disponibilità. Tutte le funzioni Lambda che si connettono a un VPC devono disporre di un'implementazione Multi-AZ per garantire che una singola zona di errore non provochi un'interruzione totale delle operazioni.

### Correzione
<a name="lambda-5-remediation"></a>

Se configuri la funzione per la connessione a un VPC nel tuo account, specifica le sottoreti in più sottoreti AZs per garantire un'elevata disponibilità. Per istruzioni, consulta [Configurazione dell'accesso al VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) nella Guida per *AWS Lambda gli* sviluppatori.

Lambda esegue automaticamente altre funzioni in più parti AZs per garantire che sia disponibile per elaborare gli eventi in caso di interruzione del servizio in una singola zona.

## [Lambda.6] Le funzioni Lambda devono essere etichettate
<a name="lambda-6"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Lambda::Function`

**AWS Config regola:** `tagged-lambda-function` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una AWS Lambda funzione ha tag con i tasti specifici definiti nel parametro. `requiredTagKeys` Il controllo fallisce se la funzione non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se la funzione non è etichettata con alcun tasto. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="lambda-6-remediation"></a>

*Per aggiungere tag a una funzione Lambda, consulta [Using tags on Lambda functions](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) nella Developer Guide.AWS Lambda *

## [Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray
<a name="lambda-7"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-7

**Categoria:** Identificazione > Registrazione

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Lambda::Function`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se active tracing with AWS X-Ray è abilitato per una AWS Lambda funzione. Il controllo fallisce se il tracciamento attivo con X-Ray è disabilitato per la funzione Lambda.

AWS X-Ray può fornire funzionalità di tracciamento e monitoraggio delle AWS Lambda funzioni, che possono far risparmiare tempo e fatica nel debug e nell'utilizzo delle funzioni Lambda. Può aiutarti a diagnosticare gli errori e identificare rallentamenti, timeout e rallentamenti delle prestazioni suddividendo la latenza per le funzioni Lambda. Può anche aiutare con i requisiti di privacy e conformità dei dati. Se abiliti il tracciamento attivo per una funzione Lambda, X-Ray fornisce una visione olistica del flusso e dell'elaborazione dei dati all'interno della funzione Lambda, che può aiutarti a identificare potenziali vulnerabilità di sicurezza o pratiche di gestione dei dati non conformi. Questa visibilità può aiutarvi a mantenere l'integrità, la riservatezza e la conformità dei dati alle normative pertinenti.

**Nota**  
AWS X-Ray il tracciamento non è attualmente supportato per le funzioni Lambda con Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogestito, Amazon MQ con ActiveMQ e RabbitMQ o mappature delle sorgenti di eventi Amazon DocumentDB.

### Correzione
<a name="lambda-7-remediation"></a>

*Per informazioni sull'abilitazione del tracciamento attivo per una AWS Lambda funzione, consulta [Visualizza le chiamate alla funzione Lambda utilizzando nella Guida per gli sviluppatori](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html). AWS X-RayAWS Lambda *

# Controlli CSPM Security Hub per Macie
<a name="macie-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio Amazon Macie.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie dovrebbe essere abilitato
<a name="macie-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**Tipo di pianificazione:** periodica

Questo controllo verifica se Amazon Macie è abilitato per un account. Il controllo fallisce se Macie non è abilitato per l'account.

Amazon Macie rileva i dati sensibili utilizzando l'apprendimento automatico e il pattern matching, fornisce visibilità sui rischi per la sicurezza dei dati e abilita la protezione automatizzata contro tali rischi. Macie valuta automaticamente e continuamente i bucket Amazon Simple Storage Service (Amazon S3) per la sicurezza e il controllo degli accessi e genera risultati per informarti di potenziali problemi con la sicurezza o la privacy dei tuoi dati Amazon S3. Macie automatizza anche l'individuazione e la segnalazione di dati sensibili, come le informazioni di identificazione personale (PII), per fornirti una migliore comprensione dei dati archiviati in Amazon S3. Per ulteriori informazioni, consulta la Guida per l'[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Correzione
<a name="macie-1-remediation"></a>

Per abilitare Macie, consulta [Enable Macie nella Guida](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) per l'utente di *Amazon Macie*.

## [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
<a name="macie-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**Tipo di pianificazione:** periodica

Questo controllo verifica se il rilevamento automatico di dati sensibili è abilitato per un account amministratore di Amazon Macie. Il controllo fallisce se il rilevamento automatico di dati sensibili non è abilitato per un account amministratore Macie. Questo controllo si applica solo agli account amministratore.

Macie automatizza il rilevamento e il reporting di dati sensibili, come le informazioni di identificazione personale (PII), nei bucket Amazon Simple Storage Service (Amazon S3). Grazie al rilevamento automatico dei dati sensibili, Macie valuta continuamente l'inventario dei bucket e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. Man mano che l'analisi procede, Macie aggiorna le statistiche, i dati di inventario e altre informazioni che fornisce sui dati S3. Macie genera anche risultati per segnalare i dati sensibili che trova.

### Correzione
<a name="macie-2-remediation"></a>

Per creare e configurare processi automatici di rilevamento di dati sensibili per analizzare oggetti nei bucket S3, consulta [Configurazione del rilevamento automatico di dati sensibili per il tuo account nella Guida per](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) l'utente di *Amazon* Macie.

# Controlli CSPM del Security Hub per Amazon MSK
<a name="msk-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Managed Streaming for Apache Kafka (Amazon MSK). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
<a name="msk-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::MSK::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon MSK è crittografato in transito con HTTPS (TLS) tra i nodi broker del cluster. Il controllo fallisce se la comunicazione in testo semplice è abilitata per una connessione al nodo del broker del cluster.

HTTPS offre un ulteriore livello di sicurezza in quanto utilizza TLS per spostare i dati e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o simili attacchi per intercettare o manipolare il traffico di rete. Per impostazione predefinita, Amazon MSK crittografa i dati in transito con TLS. Tuttavia, puoi ignorare questa impostazione predefinita al momento della creazione del cluster. Consigliamo di utilizzare connessioni crittografate tramite HTTPS (TLS) per le connessioni ai nodi del broker.

### Correzione
<a name="msk-1-remediation"></a>

Per informazioni sull'aggiornamento delle impostazioni di crittografia per un cluster Amazon MSK, consulta [Updating security settings of a cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
<a name="msk-2"></a>

Requisiti **correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::MSK::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon MSK ha configurato il monitoraggio avanzato, specificato da un livello di monitoraggio di almeno`PER_TOPIC_PER_BROKER`. Il controllo fallisce se il livello di monitoraggio per il cluster è impostato su `DEFAULT` o`PER_BROKER`.

Il livello di `PER_TOPIC_PER_BROKER` monitoraggio fornisce informazioni più dettagliate sulle prestazioni del cluster MSK e fornisce anche metriche relative all'utilizzo delle risorse, come l'utilizzo della CPU e della memoria. Ciò consente di identificare i punti deboli in termini di prestazioni e i modelli di utilizzo delle risorse per singoli argomenti e broker. Questa visibilità, a sua volta, può ottimizzare le prestazioni dei vostri broker Kafka.

### Correzione
<a name="msk-2-remediation"></a>

Per configurare il monitoraggio avanzato per un cluster MSK, completa i seguenti passaggi:

1. Aprire la console Amazon MSK a [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/.](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)

1. Nel pannello di navigazione scegliere **Cluster**. Quindi, scegli un cluster.

1. Per **Azione**, seleziona **Modifica monitoraggio**.

1. Seleziona l'opzione per il monitoraggio **avanzato a livello di argomento**.

1. Scegli **Save changes** (Salva modifiche).

Per ulteriori informazioni sui livelli di monitoraggio, consulta i [parametri di Amazon MSK per il monitoraggio dei broker Standard CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.3] I connettori MSK Connect devono essere crittografati in transito
<a name="msk-3"></a>

**Requisiti correlati**: PCI DSS v4.0.1/4.2.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::KafkaConnect::Connector`

**AWS Config regola:** `msk-connect-connector-encrypted` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un connettore Amazon MSK Connect è crittografato in transito. Questo controllo fallisce se il connettore non è crittografato in transito.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

### Correzione
<a name="msk-3-remediation"></a>

È possibile abilitare la crittografia in transito quando si crea un connettore MSK Connect. Non è possibile modificare le impostazioni di crittografia dopo aver creato un connettore. Per ulteriori informazioni, consulta [Creare un connettore](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
<a name="msk-4"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::MSK::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'accesso pubblico è disabilitato per un cluster Amazon MSK. Il controllo fallisce se l'accesso pubblico è abilitato per il cluster MSK.

Per impostazione predefinita, i client possono accedere a un cluster Amazon MSK solo se si trovano nello stesso VPC del cluster. Tutte le comunicazioni tra i client Kafka e un cluster MSK sono private per impostazione predefinita e i dati in streaming non attraversano Internet. Tuttavia, se un cluster MSK è configurato per consentire l'accesso pubblico, chiunque su Internet può stabilire una connessione ai broker Apache Kafka in esecuzione all'interno del cluster. Ciò può portare a problemi come l'accesso non autorizzato, la violazione dei dati o lo sfruttamento delle vulnerabilità. Se si limita l'accesso a un cluster richiedendo misure di autenticazione e autorizzazione, è possibile proteggere le informazioni sensibili e mantenere l'integrità delle risorse.

### Correzione
<a name="msk-4-remediation"></a>

Per informazioni sulla gestione dell'accesso pubblico a un cluster Amazon MSK, consulta [Turn on public access to an MSK Provisioned cluster](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.5] I connettori MSK devono avere la registrazione abilitata
<a name="msk-5"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::KafkaConnect::Connector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata per un connettore Amazon MSK. Il controllo fallisce se la registrazione è disabilitata per il connettore MSK.

I connettori Amazon MSK integrano sistemi esterni e servizi Amazon con Apache Kafka copiando continuamente i dati in streaming da una fonte di dati in un cluster Apache Kafka o copiando continuamente i dati da un cluster in un data sink. MSK Connect può scrivere eventi di registro che possono aiutare a eseguire il debug di un connettore. Quando crei un connettore, puoi specificare zero o più delle seguenti destinazioni di log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.

**Nota**  
Se un plug-in non definisce i valori di configurazione sensibili come segreti, tali valori possono apparire nei log dei connettori. Kafka Connect tratta i valori di configurazione non definiti allo stesso modo di qualsiasi altro valore non crittografato.

### Correzione
<a name="msk-5-remediation"></a>

Per abilitare la registrazione per un connettore Amazon MSK esistente, devi ricreare il connettore con la configurazione di registrazione appropriata. Per informazioni sulle opzioni di configurazione, consulta [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
<a name="msk-6"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::MSK::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'accesso non autenticato è abilitato per un cluster Amazon MSK. Il controllo fallisce se è abilitato l'accesso non autenticato per il cluster MSK.

Amazon MSK supporta i meccanismi di autenticazione e autorizzazione dei client per controllare l'accesso a un cluster. Questi meccanismi verificano l'identità dei client che si connettono al cluster e determinano le azioni che i client possono eseguire. Un cluster MSK può essere configurato per consentire l'accesso non autenticato, il che consente a qualsiasi client con connettività di rete di pubblicare e sottoscrivere argomenti di Kafka senza fornire credenziali. L'esecuzione di un cluster MSK senza richiedere l'autenticazione viola il principio del privilegio minimo e può esporre il cluster ad accessi non autorizzati. Può consentire a qualsiasi client di accedere, modificare o eliminare i dati relativi agli argomenti di Kafka, con conseguenti potenziali violazioni dei dati, modifiche non autorizzate dei dati o interruzioni del servizio. Consigliamo di abilitare meccanismi di autenticazione come l'autenticazione IAM, SASL/SCRAM o il TLS reciproco per garantire un controllo adeguato degli accessi e mantenere la conformità alla sicurezza.

### Correzione
<a name="msk-6-remediation"></a>

Per informazioni sulla modifica delle impostazioni di autenticazione per un cluster Amazon MSK, consulta le seguenti sezioni della *Amazon Managed Streaming for Apache Kafka Developer [Guide: Aggiornamento delle impostazioni di sicurezza di un [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) MSK e Autenticazione e autorizzazione per* Apache Kafka. APIs

# Controlli CSPM del Security Hub per Amazon MQ
<a name="mq-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon MQ. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
<a name="mq-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::AmazonMQ::Broker`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un broker Amazon MQ ActiveMQ trasmette i log di audit ad Amazon Logs. CloudWatch Il controllo fallisce se il broker non trasmette i log di audit a Logs. CloudWatch 

Pubblicando i log del broker ActiveMQ su Logs CloudWatch , è possibile CloudWatch creare allarmi e metriche che aumentano la visibilità delle informazioni relative alla sicurezza.

### Correzione
<a name="mq-2-remediation"></a>

*Per trasmettere i log del broker ActiveMQ CloudWatch a Logs, consulta Configuring Amazon MQ [for ActiveMQ logs nella Amazon MQ Developer Guide](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie
<a name="mq-3"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nel gennaio 2026. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::AmazonMQ::Broker`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un broker Amazon MQ ha abilitato l'aggiornamento automatico delle versioni secondarie. Il controllo fallisce se il broker non ha abilitato l'aggiornamento automatico della versione secondaria.

Man mano che Amazon MQ rilascia e supporta nuove versioni del motore di brokeraggio, le modifiche sono retrocompatibili con un'applicazione esistente e non compromettono le funzionalità esistenti. Gli aggiornamenti automatici delle versioni del motore di brokeraggio ti proteggono dai rischi per la sicurezza, aiutano a correggere i bug e a migliorare la funzionalità.

**Nota**  
Quando il broker associato all'aggiornamento automatico delle versioni secondarie utilizza la patch più recente e non è più supportato, è necessario eseguire l'aggiornamento manualmente.

### Correzione
<a name="mq-3-remediation"></a>

Per abilitare l'aggiornamento automatico della versione secondaria per un broker MQ, consulta [Aggiornamento automatico della versione secondaria del motore](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) nella *Amazon MQ Developer* Guide.

## [MQ.4] I broker Amazon MQ devono essere etichettati
<a name="mq-4"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AmazonMQ::Broker`

**AWS Config regola:** `tagged-amazonmq-broker` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un broker Amazon MQ dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il broker non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il broker non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="mq-4-remediation"></a>

Per aggiungere tag a un broker Amazon MQ, consulta [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) nella *Amazon MQ Developer Guide*.

## [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
<a name="mq-5"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AmazonMQ::Broker`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ ActiveMQ è impostata su active/standby. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).

La distribuzione attiva/standby offre un'elevata disponibilità per i broker Amazon MQ ActiveMQ in un unico ambiente. Regione AWS La modalità di distribuzione attiva/standby include due istanze di broker in due diverse zone di disponibilità, configurate in una coppia ridondante. Questi broker comunicano in modo sincrono con l'applicazione, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.

### Correzione
<a name="mq-5-remediation"></a>

*Per creare un nuovo broker ActiveMQ active/standby con modalità di distribuzione, [consulta Creazione e configurazione di un broker ActiveMQ nella Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) Developer Guide.* **Per la modalità di **distribuzione, scegli il broker Active/standby.**** Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.

## [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
<a name="mq-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::AmazonMQ::Broker`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ RabbitMQ è impostata sulla distribuzione in cluster. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).

La distribuzione in cluster offre un'elevata disponibilità per i broker Amazon MQ RabbitMQ in un unico. Regione AWS L'implementazione del cluster è un raggruppamento logico di tre nodi broker RabbitMQ, ciascuno con il proprio volume Amazon Elastic Block Store (Amazon EBS) e uno stato condiviso. L'implementazione del cluster garantisce la replica dei dati su tutti i nodi del cluster, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.

### Correzione
<a name="mq-6-remediation"></a>

*Per creare un nuovo broker RabbitMQ con modalità di distribuzione cluster, consulta [Creazione e connessione a un broker RabbitMQ nella Amazon MQ Developer](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) Guide.* **Per la **modalità di distribuzione**, scegli Distribuzione in cluster.** Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.

# Controlli CSPM del Security Hub per Neptune
<a name="neptune-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Neptune.

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
<a name="neptune-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Neptune DB è crittografato quando è inattivo. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster Neptune DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest

### Correzione
<a name="neptune-1-remediation"></a>

È possibile abilitare la crittografia a riposo quando si crea un cluster Neptune DB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. *Per ulteriori informazioni, [consulta Encrypting Neptune resources at rest nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html).*

## [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
<a name="neptune-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.0 103,3

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Neptune DB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se un cluster Neptune DB non pubblica i log di controllo su Logs. CloudWatch `EnableCloudWatchLogsExport`dovrebbe essere impostato su. `Audit`

Amazon Neptune e CloudWatch Amazon sono integrati in modo da poter raccogliere e analizzare i parametri delle prestazioni. Neptune invia automaticamente le metriche e supporta anche gli CloudWatch allarmi. CloudWatch I log di controllo sono altamente personalizzabili. Quando si esegue l'audit di un database, ogni operazione sui dati può essere monitorata e registrata in una pista di controllo, incluse le informazioni su quale cluster di database si accede e in che modo. Ti consigliamo di inviare questi log per aiutarti CloudWatch a monitorare i tuoi cluster Neptune DB.

### Correzione
<a name="neptune-2-remediation"></a>

*Per pubblicare i log di controllo di Neptune su Logs CloudWatch , [consulta Pubblicazione dei log di Neptune su Amazon Logs nella Neptune User Guide. CloudWatch ](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)* Nella sezione Esportazioni dei log**,** scegli **Audit**.

## [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
<a name="neptune-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istantanea manuale del cluster DB di Neptune è pubblica. Il controllo fallisce se un'istantanea manuale del cluster DB di Neptune è pubblica.

Un'istantanea manuale del cluster Neptune DB non deve essere pubblica a meno che non sia prevista. Se condividi un'istantanea manuale non crittografata come pubblica, l'istantanea è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.

### Correzione
<a name="neptune-3-remediation"></a>

*Per rimuovere l'accesso pubblico alle istantanee manuali dei cluster DB di Neptune, [consulta Condivisione di un'istantanea del cluster DB](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) nella Guida per l'utente di Neptune.*

## [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
<a name="neptune-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Neptune DB ha la protezione da eliminazione abilitata. Il controllo fallisce se un cluster Neptune DB non ha la protezione da eliminazione abilitata.

L'attivazione della protezione da eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Neptune DB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo.

### Correzione
<a name="neptune-4-remediation"></a>

*Per abilitare la protezione da eliminazione per un cluster Neptune DB esistente, [consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) Guida per l'utente di Amazon Aurora.*

## [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
<a name="neptune-5"></a>

**Requisiti correlati: NIST.800-53.R5** SI-12

**Categoria: Recupero > Resilienza > Backup abilitati**

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periodo minimo di conservazione dei backup in giorni  |  Numero intero  |  `7` Da a `35`  |  `7`  | 

Questo controllo verifica se un cluster Neptune DB ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se i backup non sono abilitati per il cluster Neptune DB o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Neptune DB, sarete in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. 

### Correzione
<a name="neptune-5-remediation"></a>

*Per abilitare i backup automatici e impostare un periodo di conservazione dei backup per i cluster Neptune DB, [consulta Enabling automatic backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) nella Amazon RDS User Guide.* Per il **periodo di conservazione del Backup**, scegli un valore maggiore o uguale a 7.

## [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
<a name="neptune-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 (18) NIST.800-53.r5 SC-7

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istantanea del cluster Neptune DB è crittografata quando è inattiva. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nelle istantanee dei cluster Neptune DB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

### Correzione
<a name="neptune-6-remediation"></a>

Non è possibile crittografare uno snapshot del cluster Neptune DB esistente. È invece necessario ripristinare lo snapshot in un nuovo cluster DB e abilitare la crittografia sul cluster. È possibile creare un'istantanea crittografata dal cluster crittografato. *Per istruzioni, consulta [Ripristino da un'istantanea del cluster DB e Creazione di un'istantanea](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) [del cluster DB in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).*

## [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
<a name="neptune-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Neptune DB ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione del database IAM non è abilitata per un cluster Neptune DB.

L'autenticazione del database IAM per i cluster di database Amazon Neptune elimina la necessità di memorizzare le credenziali degli utenti all'interno della configurazione del database perché l'autenticazione viene gestita esternamente tramite IAM. Quando l'autenticazione del database IAM è abilitata, ogni richiesta deve essere firmata utilizzando Signature Version 4. AWS 

### Correzione
<a name="neptune-7-remediation"></a>

Per impostazione predefinita, l'autenticazione del database IAM è disabilitata quando si crea un cluster Neptune DB. *Per abilitarlo, consulta [Enabling IAM database authentication in Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) nella Neptune User Guide.*

## [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
<a name="neptune-8"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria**: Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Neptune DB è configurato per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee. Il controllo fallisce se un cluster Neptune DB non è configurato per copiare i tag nelle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario etichettare gli snapshot nello stesso modo dei relativi cluster di database Amazon RDS principali. La copia dei tag garantisce che i metadati per gli snapshot DB corrispondano a quelli dei cluster di database principali e che le politiche di accesso per lo snapshot DB corrispondano anche a quelle dell'istanza DB principale. 

### Correzione
<a name="neptune-8-remediation"></a>

*Per copiare i tag nelle istantanee per i cluster Neptune DB, consulta [Copiare i tag in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*

## [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
<a name="neptune-9"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Neptune DB dispone di istanze di replica in lettura in più zone di disponibilità (). AZs Il controllo fallisce se il cluster viene distribuito in una sola AZ.

Se una AZ non è disponibile e durante gli eventi di manutenzione regolari, le repliche di lettura fungono da destinazioni di failover per l'istanza principale. Pertanto, se si verifica un errore nell'istanza primaria, Neptune promuove un'istanza di replica di lettura a diventare l'istanza primaria. Al contrario, se il cluster database non include istanze di replica di lettura, il cluster database rimane non disponibile quando l'istanza primaria ha esito negativo finché non viene ricreata. La ricreazione dell'istanza primaria richiede molto più tempo rispetto alla promozione di un'istanza di replica di lettura. Per garantire un'elevata disponibilità, si consiglia di creare una o più istanze di replica di lettura che abbiano la stessa classe di istanza DB dell'istanza principale e si trovino in un'istanza diversa dall'istanza principale. AZs 

### Correzione
<a name="neptune-9-remediation"></a>

*Per implementare un cluster Neptune DB in più, [consulta Istanze DB AZs Read-Replica in un cluster Neptune DB nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Controlli CSPM Security Hub per AWS Network Firewall
<a name="networkfirewall-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Network Firewall servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità
<a name="networkfirewall-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo valuta se un firewall gestito tramite AWS Network Firewall viene distribuito su più zone di disponibilità (). AZs Il controllo fallisce se un firewall viene distribuito in una sola zona di disponibilità.

AWS l'infrastruttura globale ne include diverse Regioni AWS. AZs sono sedi fisicamente separate e isolate all'interno di ciascuna regione, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Implementando un firewall Network Firewall su più server AZs, è possibile bilanciare e spostare il traffico da uno all'altro AZs, il che aiuta a progettare soluzioni ad alta disponibilità.

### Correzione
<a name="networkfirewall-1-remediation"></a>

**Implementazione di un firewall Network Firewall su più reti AZs**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, in **Network Firewall**, scegli **Firewall**.

1. Nella pagina **Firewall**, seleziona il firewall che desideri modificare.

1. Nella pagina dei dettagli del firewall, scegli la scheda **Dettagli del firewall**.

1. **Nella sezione **Politica associata e VPC**, scegli Modifica**

1. Per aggiungere una nuova AZ, scegli **Aggiungi nuova sottorete**. Seleziona la AZ e la sottorete che desideri utilizzare. Assicurati di selezionarne almeno due AZs.

1. Scegli **Save** (Salva).

## [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
<a name="networkfirewall-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20 R2 3,13.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::LoggingConfiguration`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la registrazione non è abilitata per almeno un tipo di registro o se la destinazione di registrazione non esiste.

La registrazione consente di mantenere l'affidabilità, la disponibilità e le prestazioni dei firewall. In Network Firewall, la registrazione fornisce informazioni dettagliate sul traffico di rete, tra cui l'ora in cui lo stateful engine ha ricevuto un flusso di pacchetti, informazioni dettagliate sul flusso di pacchetti e qualsiasi azione basata sullo stateful rule intrapresa contro il flusso di pacchetti.

### Correzione
<a name="networkfirewall-2-remediation"></a>

*Per abilitare la registrazione per un firewall, consulta [Aggiornamento della configurazione di registrazione di un firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html).AWS Network Firewall *

## [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
<a name="networkfirewall-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1

**Categoria**: Protezione > Configurazione di rete sicura

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se a una policy Network Firewall sono associati gruppi di regole stateful o stateless. Il controllo ha esito negativo se non vengono assegnati gruppi di regole stateless o stateful.

Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon Virtual Private Cloud (Amazon VPC). La configurazione di gruppi di regole stateless e stateful aiuta a filtrare pacchetti e flussi di traffico e definisce la gestione del traffico predefinita.

### Correzione
<a name="networkfirewall-3-remediation"></a>

Per aggiungere un gruppo di regole a una policy Network Firewall, vedere [Aggiornamento di una policy firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) nella *AWS Network Firewall Developer Guide*. Per informazioni sulla creazione e la gestione dei gruppi di regole, consulta [Gruppi di regole in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi
<a name="networkfirewall-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria**: Protezione > Configurazione di rete sicura

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personalizzabile)

Questo controllo verifica se l'azione stateless predefinita per pacchetti completi per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.

Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.

### Correzione
<a name="networkfirewall-4-remediation"></a>

*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**

## [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati
<a name="networkfirewall-5"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Categoria**: Protezione > Configurazione di rete sicura

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personalizzabile)

Questo controllo verifica se l'azione stateless predefinita per i pacchetti frammentati per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.

Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.

### Correzione
<a name="networkfirewall-5-remediation"></a>

*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**

## [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
<a name="networkfirewall-6"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Categoria**: Protezione > Configurazione di rete sicura

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::RuleGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo di regole senza stato AWS Network Firewall contiene regole. Il controllo ha esito negativo se non ci sono regole nel gruppo di regole.

Un gruppo di regole contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, potrebbe dare l'impressione che il gruppo di regole elabori il traffico. Tuttavia, quando il gruppo di regole stateless è vuoto, non elabora il traffico.

### Correzione
<a name="networkfirewall-6-remediation"></a>

Per aggiungere regole al gruppo di regole Network Firewall, consulta [Aggiornamento di un gruppo di regole stateful nella Guida](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) per gli *AWS Network Firewall sviluppatori*. Nella pagina dei dettagli del firewall, per il **gruppo di regole Stateless**, scegli **Modifica** per aggiungere regole.

## [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
<a name="networkfirewall-7"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`

**AWS Config regola:** `tagged-networkfirewall-firewall` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS Network Firewall firewall dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il firewall non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il firewall non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="networkfirewall-7-remediation"></a>

Per aggiungere tag a un firewall Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.

## [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
<a name="networkfirewall-8"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config regola:** `tagged-networkfirewall-firewallpolicy` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una policy AWS Network Firewall firewall contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la politica del firewall non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la politica del firewall non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="networkfirewall-8-remediation"></a>

Per aggiungere tag a una politica di Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.

## [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
<a name="networkfirewall-9"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteggi > Sicurezza di rete

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un AWS Network Firewall firewall ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione non è abilitata per un firewall.

AWS Network Firewall è un firewall di rete gestito a stato e un servizio di rilevamento delle intrusioni che consente di ispezionare e filtrare il traffico da, verso o tra i Virtual Private Cloud (). VPCs L'impostazione di protezione dall'eliminazione protegge dall'eliminazione accidentale del firewall.

### Correzione
<a name="networkfirewall-9-remediation"></a>

Per abilitare la protezione da eliminazione su un firewall Network Firewall esistente, vedere [Aggiornamento di un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*. Per **Modifica le protezioni**, seleziona **Abilita.** Puoi anche abilitare la protezione dall'eliminazione richiamando l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API e impostando il `DeleteProtection` campo su. `true`

## [NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata
<a name="networkfirewall-10"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteggi > Sicurezza di rete

**Gravità:** media

**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la protezione da modifica della sottorete è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la protezione da modifica della sottorete non è abilitata per il firewall.

AWS Network Firewall è un firewall di rete gestito e dotato di stato e un servizio di rilevamento delle intrusioni che puoi utilizzare per ispezionare e filtrare il traffico da, verso o tra i tuoi Virtual Private Cloud (). VPCs Se si abilita la protezione da modifiche di sottorete per un firewall Network Firewall, è possibile proteggere il firewall da modifiche accidentali alle associazioni di sottorete del firewall.

### Correzione
<a name="networkfirewall-10-remediation"></a>

Per informazioni sull'attivazione della protezione da modifiche di sottorete per un firewall Network Firewall esistente, vedere [Updating a firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*.

# Controlli CSPM di Security Hub per Amazon Service OpenSearch
<a name="opensearch-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il OpenSearch servizio e le risorse di Amazon OpenSearch Service (Service). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
<a name="opensearch-1"></a>

**Requisiti correlati:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la encryption-at-rest configurazione dei OpenSearch domini è abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.

Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, AWS KMS archivia e gestisce le chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).

Per ulteriori informazioni sulla crittografia dei OpenSearch servizi a riposo, consulta [Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) nella *Amazon OpenSearch Service* *Developer Guide*.

### Correzione
<a name="opensearch-1-remediation"></a>

Per abilitare la crittografia a riposo per OpenSearch domini nuovi ed esistenti, consulta [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) nella *Amazon OpenSearch Service Developer Guide*.

## I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
<a name="opensearch-2"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

**Severità:** critica

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i OpenSearch domini si trovano in un VPC. Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico.

È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. Consulta [le politiche basate sulle risorse](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) nella Amazon OpenSearch Service Developer Guide. È inoltre necessario assicurarsi che il VPC sia configurato in base alle procedure consigliate. Consulta [le best practice di sicurezza per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) nella Amazon VPC User Guide.

OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla AWS rete privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCs forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza. Security Hub consiglia di migrare OpenSearch i domini pubblici VPCs per sfruttare questi controlli.

### Correzione
<a name="opensearch-2-remediation"></a>

Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo in un VPC in un secondo momento. Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se si crea un dominio all'interno di un VPC, non può avere un endpoint pubblico. È invece necessario [creare un altro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) o disabilitare questo controllo.

Per istruzioni, consulta [Launching your Amazon OpenSearch Service domain all'interno di un VPC nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) *Amazon OpenSearch * Service Developer Guide.

## I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
<a name="opensearch-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i OpenSearch domini hanno la node-to-node crittografia abilitata. Questo controllo ha esito negativo se node-to-node la crittografia è disabilitata nel dominio.

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della node-to-node crittografia per i OpenSearch domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito.

Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.

### Correzione
<a name="opensearch-3-remediation"></a>

Per abilitare node-to-node la crittografia su un OpenSearch dominio, consulta [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) nella *Amazon OpenSearch Service Developer Guide*.

## La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch
<a name="opensearch-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `logtype = 'error'`(non personalizzabile)

Questo controllo verifica se i OpenSearch domini sono configurati per inviare i log degli errori ai CloudWatch registri. Questo controllo ha esito negativo se la registrazione degli errori non CloudWatch è abilitata per un dominio.

È necessario abilitare i log degli errori per i OpenSearch domini e inviarli a Logs per la conservazione e la CloudWatch risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.

### Correzione
<a name="opensearch-4-remediation"></a>

Per abilitare la pubblicazione dei log, consulta [Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) nella *Amazon OpenSearch Service Developer Guide*.

## I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
<a name="opensearch-5"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `cloudWatchLogsLogGroupArnList`(non personalizzabile) — Security Hub CSPM non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.

Questo controllo verifica se nei OpenSearch domini è abilitata la registrazione di controllo. Questo controllo ha esito negativo se in un OpenSearch dominio non è abilitata la registrazione di controllo.

I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi OpenSearch cluster, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le OpenSearch query di ricerca in arrivo.

### Correzione
<a name="opensearch-5-remediation"></a>

Per istruzioni su come abilitare i log di controllo, consulta [Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service Developer Guide*.

## I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
<a name="opensearch-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i OpenSearch domini sono configurati con almeno tre nodi di dati e `zoneAwarenessEnabled` lo è. `true` Questo controllo ha esito negativo per un OpenSearch dominio se `instanceCount` è inferiore a 3 o lo `zoneAwarenessEnabled` è`false`.

Per ottenere disponibilità e tolleranza agli errori elevate a livello di cluster, un OpenSearch dominio deve avere almeno tre nodi di dati. L'implementazione di un OpenSearch dominio con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.

### Correzione
<a name="opensearch-6-remediation"></a>

**Per modificare il numero di nodi di dati in un dominio OpenSearch**

1. Accedi alla AWS console e apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. In I **miei domini**, scegli il nome del dominio da modificare e scegli **Modifica**.

1. In **Nodi di dati** imposta **Numero di nodi** su un numero maggiore di`3`. Se esegui la distribuzione in tre zone di disponibilità, imposta il numero su un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità. 

1. Seleziona **Invia**.

## I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
<a name="opensearch-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione degli accessi sicuri > Azioni API sensibili limitate

**Gravità:** alta

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se nei OpenSearch domini è abilitato il controllo granulare degli accessi. Il controllo fallisce se il controllo di accesso a grana fine non è abilitato. Il controllo granulare degli accessi richiede `advanced-security-options` che il parametro sia abilitato. OpenSearch `update-domain-config`

Il controllo granulare degli accessi offre modi aggiuntivi per controllare l'accesso ai tuoi dati su Amazon Service. OpenSearch 

### Correzione
<a name="opensearch-7-remediation"></a>

*Per abilitare il controllo granulare degli accessi, consulta la sezione Controllo [granulare degli accessi in Amazon Service nella Amazon OpenSearch Service Developer](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Guide. OpenSearch *

## [Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS
<a name="opensearch-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(non personalizzabile)

Questo controllo verifica se un endpoint di dominio Amazon OpenSearch Service è configurato per utilizzare la politica di sicurezza TLS più recente. Il controllo fallisce se l'endpoint del OpenSearch dominio non è configurato per utilizzare l'ultima politica supportata o se HTTPs non è abilitato.

HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. TLS 1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di TLS. 

### Correzione
<a name="opensearch-8-remediation"></a>

Per abilitare la crittografia TLS, utilizza l'operazione API. [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) Configura il [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo per specificare il valore per`TLSSecurityPolicy`. Per ulteriori informazioni, consulta la sezione sulla [Node-to-node crittografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) nell'*Amazon OpenSearch Service Developer Guide*.

## I OpenSearch domini [Opensearch.9] devono essere etichettati
<a name="opensearch-9"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**AWS Config regola:** `tagged-opensearch-domain` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un dominio Amazon OpenSearch Service ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="opensearch-9-remediation"></a>

Per aggiungere tag a un dominio OpenSearch di servizio, consulta [Working with tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) nella *Amazon OpenSearch Service Developer Guide*.

## Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
<a name="opensearch-10"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se in un dominio Amazon OpenSearch Service è installato l'ultimo aggiornamento software. Il controllo fallisce se un aggiornamento software è disponibile ma non è installato per il dominio.

OpenSearch Gli aggiornamenti del software di servizio forniscono le correzioni, gli aggiornamenti e le funzionalità più recenti della piattaforma disponibili per l'ambiente. Mantenere up-to-date l'installazione delle patch aiuta a mantenere la sicurezza e la disponibilità del dominio. Se non viene intrapresa alcuna azione sugli aggiornamenti richiesti, il software di servizio viene aggiornato automaticamente (in genere dopo 2 settimane). Ti consigliamo di pianificare gli aggiornamenti in un periodo di scarso traffico verso il dominio per ridurre al minimo le interruzioni del servizio. 

### Correzione
<a name="opensearch-10-remediation"></a>

Per installare gli aggiornamenti software per un OpenSearch dominio, consulta [Starting an update](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) nella *Amazon OpenSearch Service Developer Guide*.

## I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
<a name="opensearch-11"></a>

**Requisiti correlati:**, 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::OpenSearch::Domain`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un dominio Amazon OpenSearch Service è configurato con almeno tre nodi primari dedicati. Il controllo fallisce se il dominio ha meno di tre nodi primari dedicati.

OpenSearch Il servizio utilizza nodi primari dedicati per aumentare la stabilità del cluster. Un nodo primario dedicato esegue attività di gestione del cluster, ma non contiene dati né risponde alle richieste di caricamento dei dati. Si consiglia di utilizzare Multi-AZ con standby, che aggiunge tre nodi primari dedicati a ciascun dominio di produzione OpenSearch . 

### Correzione
<a name="opensearch-11-remediation"></a>

Per modificare il numero di nodi primari per un OpenSearch dominio, consulta [Creazione e gestione dei domini Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) nella *Amazon OpenSearch Service Developer Guide*.

# Controlli CSPM Security Hub per AWS Private CA
<a name="pca-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Autorità di certificazione privata (AWS Private CA).

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
<a name="pca-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se AWS Private CA dispone di un'autorità di certificazione (CA) principale disabilitata. Il controllo fallisce se la CA principale è abilitata.

Con AWS Private CA, è possibile creare una gerarchia di CA che include una CA radice e una CAs subordinata. È necessario ridurre al minimo l'uso della CA root per le attività quotidiane, specialmente negli ambienti di produzione. La CA principale deve essere utilizzata solo per emettere certificati CAs intermedi. In questo modo la CA principale può essere conservata al riparo dai pericoli, mentre quella intermedia CAs esegue l'attività quotidiana di emissione di certificati di entità finale.

### Correzione
<a name="pca-1-remediation"></a>

*Per disabilitare la CA principale, consulta la sezione [Aggiornamento dello stato della CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) nella Guida per l'utente.AWS Autorità di certificazione privata *

## [PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
<a name="pca-2"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`

**Regola AWS Config : ** `acmpca-certificate-authority-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un'autorità di certificazione CA AWS privata dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo ha esito negativo se l'autorità di certificazione non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'autorità di certificazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="pca-2-remediation"></a>

Per aggiungere tag a un'autorità CA AWS privata, consulta [Aggiungere tag per la CA privata nella Guida](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) per l'*AWS Autorità di certificazione privata utente*.

# Controlli CSPM del Security Hub per Amazon RDS
<a name="rds-controls"></a>

Questi AWS Security Hub CSPM controlli valutano le risorse di Amazon Relational Database Service (Amazon RDS) e Amazon RDS. I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] L'istantanea RDS deve essere privata
<a name="rds-1"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se gli snapshot di Amazon RDS sono pubblici. Il controllo fallisce se le istantanee RDS sono pubbliche. Questo controllo valuta le istanze RDS, le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB.

Gli snapshot RDS vengono utilizzati per eseguire il backup dei dati nelle istanze RDS in un determinato momento. Possono essere utilizzati per ripristinare gli stati precedenti delle istanze RDS.

Uno snapshot RDS non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, questo rende lo snapshot disponibile a tutti. Account AWS Ciò potrebbe comportare l'esposizione non intenzionale dei dati dell'istanza RDS.

Tieni presente che se la configurazione viene modificata per consentire l'accesso pubblico, la AWS Config regola potrebbe non essere in grado di rilevare la modifica per un massimo di 12 ore. Finché la AWS Config regola non rileva la modifica, il controllo viene superato anche se la configurazione viola la regola.

Per ulteriori informazioni sulla condivisione di uno snapshot DB, consulta [Sharing a DB snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-1-remediation"></a>

Per rimuovere l'accesso pubblico dagli snapshot RDS, consulta [Sharing a snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) nella *Amazon RDS* User Guide. **Per la **visibilità degli snapshot DB**, scegliamo Private.**

## [RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible
<a name="rds-2"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.2.3, benchmark CIS AWS Foundations versione 3.0.0/2.3.3, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.2.1/1.3.2 3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 3.2.1/7.2.1, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le istanze di Amazon RDS sono accessibili al pubblico valutando il `PubliclyAccessible` campo nell'elemento di configurazione dell'istanza.

Le istanze DB Neptune e i cluster Amazon DocumentDB non hanno il flag e non `PubliclyAccessible` possono essere valutati. Tuttavia, questo controllo può comunque generare risultati per queste risorse. È possibile sopprimere questi risultati.

Il valore `PubliclyAccessible` nella configurazione dell'istanza RDS indica se l'istanza database è accessibile pubblicamente. Quando l'istanza database è configurata con `PubliclyAccessible`, si tratta di un'istanza con connessione Internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando l'istanza database non è accessibile pubblicamente, è un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato.

A meno che non si intenda rendere l'istanza RDS accessibile al pubblico, l'istanza RDS non deve essere configurata con valore. `PubliclyAccessible` In questo modo si potrebbe consentire un traffico non necessario verso l'istanza del database.

### Correzione
<a name="rds-2-remediation"></a>

Per rimuovere l'accesso pubblico dalle istanze DB RDS, consulta [Modificare un'istanza DB Amazon RDS nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS User Guide. **Per l'accesso **pubblico**, scegli No.**

## [RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata
<a name="rds-3"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), 3, 8 AWS (1), (10), NIST.800-53.r5 CA-9 NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la crittografia dello storage è abilitata per le istanze database di Amazon RDS.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze database RDS è necessario configurare la crittografia dei dati inattivi delle istanze database RDS. Per crittografare i dati inattivi delle istanze database RDS e degli snapshot, abilita l'opzione di crittografia per le istanze database RDS. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot. 

Le istanze database crittografate RDS utilizzano l'algoritmo di crittografia AES-256 standard aperto per crittografare i dati sul server che ospita l'istanza database RDS. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia. 

La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di storage. La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanza database. Per informazioni sulle classi di istanze DB che non supportano la crittografia Amazon RDS, [consulta Encrypting Amazon RDS resources nella *Amazon RDS*](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.

### Correzione
<a name="rds-3-remediation"></a>

*Per informazioni sulla crittografia delle istanze DB in Amazon RDS, consulta Encrypting [Amazon RDS resources nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.*

## [RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive
<a name="rds-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istantanea di RDS DB è crittografata. Il controllo ha esito negativo se uno snapshot RDS DB non è crittografato.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per istantanee di istanze Aurora DB, istanze DB Neptune e cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. I dati nelle istantanee RDS devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

### Correzione
<a name="rds-4-remediation"></a>

*Per crittografare uno snapshot RDS, consulta Encrypting [Amazon RDS resources nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.* Quando crittografi un'istanza DB RDS, i dati crittografati includono lo storage sottostante dell'istanza, i relativi backup automatici, le repliche di lettura e le istantanee.

È possibile crittografare un'istanza DB RDS solo al momento della creazione, non dopo la creazione dell'istanza DB. Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale.

## [RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità
<a name="rds-5"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, 6, (2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5

**Categoria**: Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per le istanze DB RDS. Il controllo ha esito negativo se un'istanza DB RDS non è configurata con più zone di disponibilità (). AZs Questo controllo non si applica alle istanze DB RDS che fanno parte di una distribuzione di cluster DB Multi-AZ.

La configurazione delle istanze DB di Amazon RDS con AZs aiuta a garantire la disponibilità dei dati archiviati. Le implementazioni Multi-AZ consentono il failover automatico in caso di problemi con la disponibilità di AZ e durante la normale manutenzione RDS.

### Correzione
<a name="rds-5-remediation"></a>

Per distribuire le tue istanze DB in più istanze AZs, [modifica di un'istanza DB per renderla un'istanza DB Multi-AZ nella *Amazon* RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) Guide.

## [RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS
<a name="rds-6"></a>

**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Numero di secondi tra gli intervalli di raccolta delle metriche di monitoraggio  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Nessun valore predefinito  | 

Questo controllo verifica se il monitoraggio avanzato è abilitato per un'istanza DB di Amazon Relational Database Service (Amazon RDS). Il controllo fallisce se il monitoraggio avanzato non è abilitato per l'istanza. Se fornisci un valore personalizzato per il `monitoringInterval` parametro, il controllo passa solo se le metriche di monitoraggio avanzate vengono raccolte per l'istanza all'intervallo specificato.

In Amazon RDS, Enhanced Monitoring consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Queste modifiche delle prestazioni potrebbero comportare una mancanza di disponibilità dei dati. Enhanced Monitoring fornisce metriche in tempo reale del sistema operativo su cui viene eseguita l'istanza DB RDS. Sull'istanza è installato un agente. L'agente può ottenere le metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor.

I parametri di monitoraggio avanzato sono utili quando si desidera vedere come viene utilizzata la CPU in un'istanza database dai diversi processi o thread. Per ulteriori informazioni, consulta la sezione [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Monitoraggio avanzato) nella *Guida per l'utente di Amazon RDS*.

### Correzione
<a name="rds-6-remediation"></a>

Per istruzioni dettagliate sull'attivazione di Enhanced Monitoring per la tua istanza DB, consulta [Configurazione e attivazione di Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) nella *Amazon RDS User Guide*.

## [RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
<a name="rds-7"></a>

**Requisiti correlati**: (2) NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster RDS DB ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se in un cluster RDS DB non è abilitata la protezione da eliminazione.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

L'attivazione della protezione dall'eliminazione del cluster è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Quando la protezione da eliminazione è abilitata, non è possibile eliminare un cluster RDS. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.

### Correzione
<a name="rds-7-remediation"></a>

Per abilitare la protezione da eliminazione per un cluster RDS DB, consulta [Modificare il cluster DB utilizzando la console, la CLI e l'API nella](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) *Amazon* RDS User Guide. **Per la protezione da **eliminazione, scegli Abilita protezione** da eliminazione.** 

## [RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata
<a name="rds-8"></a>

**Requisiti correlati:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria: Protezione > Protezione** dei dati > Protezione dalla cancellazione dei dati

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (non personalizzabile)

Questo controllo verifica se le istanze DB RDS che utilizzano uno dei motori di database elencati hanno la protezione dall'eliminazione abilitata. Il controllo ha esito negativo se per un'istanza RDS DB non è abilitata la protezione da eliminazione.

L'attivazione della protezione dall'eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Mentre la protezione dall'eliminazione è abilitata, un'istanza DB RDS non può essere eliminata. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.

### Correzione
<a name="rds-8-remediation"></a>

Per abilitare la protezione da eliminazione per un'istanza DB RDS, consulta [Modificare un'istanza DB Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella *Amazon RDS* User Guide. **Per la protezione da **eliminazione, scegli Abilita protezione** da eliminazione.** 

## [RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch
<a name="rds-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza DB di Amazon RDS è configurata per pubblicare i seguenti log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza non è configurata per pubblicare i seguenti log su Logs: CloudWatch 
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, aggiornamento
+ MySQL: controllo, errore, generale, SlowQuery
+ MariaDB: controllo, errore, generale, SlowQuery
+ SQL Server: errore, agente
+ Aurora: Controllo, Errore, Generale, SlowQuery
+ Aurora-MySQL: controllo, errore, generale, SlowQuery
+ Aurora-PostgreSQL: Postgresql

I database RDS devono avere i log pertinenti abilitati. La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a RDS. I log del database possono facilitare i controlli di sicurezza e accesso e possono aiutare a diagnosticare i problemi di disponibilità.

### Correzione
<a name="rds-9-remediation"></a>

*Per informazioni sulla pubblicazione dei log del database RDS in CloudWatch Logs, consulta [Specificare i log da pubblicare su Logs CloudWatch nella Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) RDS User Guide.*

## [RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
<a name="rds-10"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza DB RDS ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione IAM non è configurata per le istanze DB RDS. Questo controllo valuta solo le istanze RDS con i seguenti tipi di motore:`mysql`,,,`postgres`, `aurora` e. `aurora-mysql` `aurora-postgresql` `mariadb` Un'istanza RDS deve inoltre trovarsi in uno dei seguenti stati per generare un risultato:`available`,, `backing-up` o. `storage-optimization` `storage-full`

L'autenticazione del database IAM consente l'autenticazione delle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per ulteriori informazioni, consulta [Autenticazione database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) nella *Guida per l'utente di Amazon Aurora*.

### Correzione
<a name="rds-10-remediation"></a>

Per attivare l'autenticazione del database IAM su un'istanza DB RDS, consulta [Abilitazione e disabilitazione dell'autenticazione del database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) nella *Amazon RDS* User Guide.

## [RDS.11] Le istanze RDS devono avere i backup automatici abilitati
<a name="rds-11"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria**: Ripristino > Resilienza > Backup abilitati 

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  Periodo minimo di conservazione dei backup in giorni  |  Numero intero  |  `7` Da a `35`  |  `7`  | 
|  `checkReadReplicas`  |  Verifica se le istanze DB RDS dispongono di backup abilitati per le repliche di lettura  |  Booleano  |  Non personalizzabile  |  `false`  | 

Questo controllo verifica se un'istanza di Amazon Relational Database Service ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Le repliche di lettura sono escluse dalla valutazione. Il controllo fallisce se i backup non sono abilitati per l'istanza o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e rafforzano la resilienza dei sistemi. Amazon RDS consente di configurare istantanee giornaliere di volumi completi di istanze. Per ulteriori informazioni sui backup automatici di Amazon RDS, consulta [Working with Backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-11-remediation"></a>

Per abilitare i backup automatici su un'istanza DB RDS, consulta [Enabling automation backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) nella *Amazon RDS* User Guide.

## [RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
<a name="rds-12"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon RDS DB ha l'autenticazione del database IAM abilitata.

L'autenticazione del database IAM consente l'autenticazione senza password per le istanze di database. L'autenticazione utilizza un token di autenticazione. Il traffico di rete da e verso il database è crittografato tramite SSL. Per ulteriori informazioni, consulta [Autenticazione database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) nella *Guida per l'utente di Amazon Aurora*.

### Correzione
<a name="rds-12-remediation"></a>

Per abilitare l'autenticazione IAM per un cluster DB, consulta [Abilitazione e disabilitazione dell'autenticazione del database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) nella Guida per l'utente di *Amazon Aurora*. 

## [RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
<a name="rds-13"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.2.2, benchmark CIS AWS Foundations versione 3.0.0/2.3.2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** alta

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database RDS.

Gli aggiornamenti automatici delle versioni secondarie aggiornano periodicamente un database alle versioni recenti del motore di database. Tuttavia, l’aggiornamento potrebbe non includere sempre la versione più recente del motore di database. Se è necessario mantenere i database su versioni specifiche in momenti particolari, consigliamo di eseguire manualmente l’aggiornamento alle versioni del database necessarie in base alla pianificazione richiesta. In caso di problemi di sicurezza critici o quando una versione raggiunge la end-of-support data di scadenza, Amazon RDS potrebbe applicare un aggiornamento di versione secondario anche se non hai abilitato l'opzione **Aggiornamento automatico della versione secondaria**. Per ulteriori informazioni, consulta la documentazione di aggiornamento di Amazon RDS per il tuo motore di database specifico:
+ [Aggiornamenti automatici delle versioni secondarie per RDS per MariadB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Aggiornamenti automatici delle versioni secondarie per RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Aggiornamenti automatici delle versioni secondarie per RDS per PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 nelle versioni di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Aggiornamenti delle versioni minori di Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Aggiornamenti del motore DB Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Correzione
<a name="rds-13-remediation"></a>

Per abilitare gli aggiornamenti automatici delle versioni secondarie per un'istanza DB esistente, consulta [Modificare un'istanza DB Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella *Amazon RDS* User Guide. **Per l'**aggiornamento automatico delle versioni secondarie**, seleziona Sì.**

## [RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
<a name="rds-14"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6 (1), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13 (5)

**Categoria**: Ripristino > Resilienza > Backup abilitati 

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Numero di ore per il backtrack di un cluster Aurora MySQL  |  Double  |  `0.1` Da a `72`  |  Nessun valore predefinito  | 

Questo controllo verifica se un cluster Amazon Aurora ha il backtracking abilitato. Il controllo fallisce se il backtracking non è abilitato nel cluster. Se si fornisce un valore personalizzato per il `BacktrackWindowInHours` parametro, il controllo passa solo se il cluster viene eseguito a ritroso per il periodo di tempo specificato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il backtracking di Aurora riduce il tempo necessario per ripristinare un database a un determinato punto nel tempo. A tale scopo, non è necessario ripristinare il database.

### Correzione
<a name="rds-14-remediation"></a>

*Per abilitare il backtracking di Aurora, consulta [Configurazione del backtracking nella Guida per l'utente](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) di Amazon Aurora.*

Tieni presente che non puoi abilitare il backtracking su un cluster esistente. Puoi invece creare un clone con il backtracking abilitato. Per ulteriori informazioni sulle limitazioni del backtracking di Aurora, consulta l'elenco delle limitazioni in [Panoramica](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html) del backtracking.

## [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
<a name="rds-15"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, 6, (2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5

**Categoria**: Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per i cluster DB RDS. Il controllo ha esito negativo se un cluster RDS DB non è distribuito in più zone di disponibilità (). AZs

I cluster RDS DB devono essere configurati per più cluster per AZs garantire la disponibilità dei dati archiviati. L'implementazione su più piattaforme AZs consente il failover automatico in caso di problemi di disponibilità di AZ e durante i normali eventi di manutenzione RDS.

### Correzione
<a name="rds-15-remediation"></a>

Per distribuire i tuoi cluster DB in più AZs, [modifica di un'istanza DB in un'istanza DB Multi-AZ nella *Amazon* RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) Guide.

I passaggi di riparazione sono diversi per i database globali di Aurora. Per configurare più zone di disponibilità per un database globale Aurora, seleziona il tuo cluster DB. Quindi, scegli **Azioni** e **Aggiungi lettore** e specificane più AZs. Per ulteriori informazioni, consulta [Aggiungere repliche Aurora a un cluster DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) nella *Amazon* Aurora User Guide.

## [RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB
<a name="rds-16"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificazione > Inventario

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**AWS Config regola:** `rds-cluster-copy-tags-to-snapshots-enabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Aurora DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo fallisce se il cluster Aurora DB non è configurato per copiare automaticamente i tag nelle istantanee del cluster al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. Devi avere la visibilità di tutti i tuoi cluster Amazon Aurora DB in modo da poterne valutare il livello di sicurezza e intervenire su potenziali aree di debolezza. Le istantanee di Aurora DB devono avere gli stessi tag dei cluster DB principali. In Amazon Aurora, puoi configurare un cluster DB per copiare automaticamente tutti i tag del cluster negli snapshot del cluster. L'attivazione di questa impostazione garantisce che gli snapshot DB ereditino gli stessi tag dei cluster DB principali.

### Correzione
<a name="rds-16-remediation"></a>

*Per informazioni sulla configurazione di un cluster Amazon Aurora DB per copiare automaticamente i tag negli snapshot DB, [consulta Modifying an Amazon Aurora DB cluster nella Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) User Guide.*

## [RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot
<a name="rds-17"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificazione > Inventario

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**AWS Config regola:** `rds-instance-copy-tags-to-snapshots-enabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se le istanze DB RDS sono configurate per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutte le istanze DB RDS in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo delle istanze del database RDS principale. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag delle istanze di database principali.

### Correzione
<a name="rds-17-remediation"></a>

*Per copiare automaticamente i tag negli snapshot per un'istanza DB RDS, consulta [Modifying an Amazon RDS DB Instance nella Amazon RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Guide.* **Seleziona Copia i tag negli snapshot.**

## [RDS.18] Le istanze RDS devono essere distribuite in un VPC
<a name="rds-18"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC 

**Gravità:** alta

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**AWS Config regola:** `rds-deployed-in-vpc` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un'istanza Amazon RDS è distribuita su un VPC EC2.

I VPC forniscono una serie di controlli di rete per proteggere l'accesso alle risorse RDS. Questi controlli includono endpoint VPC, ACL di rete e gruppi di sicurezza. Per sfruttare questi controlli, ti consigliamo di creare le tue istanze RDS su un EC2-VPC.

### Correzione
<a name="rds-18-remediation"></a>

*Per istruzioni su come spostare le istanze RDS su un VPC, consulta Aggiornamento [del VPC per un'istanza DB nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) Amazon RDS User Guide.*

## [RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster
<a name="rds-19"></a>

**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

**Categoria: Rileva > Servizi** di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::EventSubscription`

**AWS Config regola:** `rds-cluster-event-notifications-configured` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un abbonamento a eventi Amazon RDS esistente per cluster di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:

```
DBCluster: ["maintenance","failure"]
```

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-19-remediation"></a>

Per iscriverti alle notifiche degli eventi del cluster RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:


| Campo | Valore | 
| --- | --- | 
|  Source type (Tipo di origine)  |  Cluster  | 
|  Cluster da includere  |  Tutti i cluster  | 
|  Categorie di eventi da includere  |  Seleziona categorie di eventi specifiche o Tutte le categorie di eventi  | 

## [RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database
<a name="rds-20"></a>

**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2**, PCI DSS v4.0.1/11.5.2

**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::EventSubscription`

**AWS Config regola:** `rds-instance-event-notifications-configured` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un abbonamento ad eventi Amazon RDS esistente per le istanze di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:

```
DBInstance: ["maintenance","configuration change","failure"]
```

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-20-remediation"></a>

Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:


| Campo | Valore | 
| --- | --- | 
|  Source type (Tipo di origine)  |  Istanze  | 
|  Istanze da includere  |  Tutte le istanze  | 
|  Categorie di eventi da includere  |  Seleziona categorie di eventi specifiche o Tutte le categorie di eventi  | 

## [RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database
<a name="rds-21"></a>

**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::EventSubscription`

**AWS Config regola:** `rds-pg-event-notifications-configured` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

```
DBParameterGroup: ["configuration change"]
```

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-21-remediation"></a>

Per iscriverti alle notifiche degli eventi dei gruppi di parametri del database RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:


| Campo | Valore | 
| --- | --- | 
|  Source type (Tipo di origine)  |  Gruppi di parametri  | 
|  Gruppi di parametri da includere  |  Tutti i gruppi di parametri  | 
|  Categorie di eventi da includere  |  Seleziona categorie di eventi specifiche o Tutte le categorie di eventi  | 

## [RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database
<a name="rds-22"></a>

**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::EventSubscription`

**AWS Config regola:** `rds-sg-event-notifications-configured` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

```
DBSecurityGroup: ["configuration change","failure"]
```

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.

### Correzione
<a name="rds-22-remediation"></a>

Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:


| Campo | Valore | 
| --- | --- | 
|  Source type (Tipo di origine)  |  Gruppi di sicurezza  | 
|  Gruppi di sicurezza da includere  |  Tutti i gruppi di sicurezza  | 
|  Categorie di eventi da includere  |  Seleziona categorie di eventi specifiche o Tutte le categorie di eventi  | 

## [RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
<a name="rds-23"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**AWS Config regola:** `rds-no-default-ports` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un cluster o un'istanza RDS utilizza una porta diversa dalla porta predefinita del motore di database. Il controllo ha esito negativo se il cluster o l'istanza RDS utilizza la porta predefinita. Questo controllo non si applica alle istanze RDS che fanno parte di un cluster.

Se utilizzi una porta nota per distribuire un cluster o un'istanza RDS, un utente malintenzionato può indovinare le informazioni sul cluster o sull'istanza. L'utente malintenzionato può utilizzare queste informazioni insieme ad altre informazioni per connettersi a un cluster o a un'istanza RDS o ottenere informazioni aggiuntive sull'applicazione.

Quando si modifica la porta, è necessario aggiornare anche le stringhe di connessione esistenti utilizzate per connettersi alla porta precedente. È inoltre necessario controllare il gruppo di sicurezza dell'istanza DB per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.

### Correzione
<a name="rds-23-remediation"></a>

Per modificare la porta predefinita di un'istanza DB RDS esistente, consulta [Modifying an Amazon RDS DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella Amazon *RDS User Guide*. *Per modificare la porta predefinita di un cluster RDS DB esistente, consulta [Modificare il cluster DB utilizzando la console, la CLI e l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) nella Guida per l'utente di Amazon Aurora.* Per la **porta del database**, modifica il valore della porta con un valore non predefinito.

## [RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
<a name="rds-24"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster di database Amazon RDS ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB). Questa regola avrà esito negativo se il nome utente dell'amministratore è impostato sul valore predefinito.

Quando crei un database Amazon RDS, devi modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati durante la creazione del database RDS. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.

### Correzione
<a name="rds-24-remediation"></a>

Per modificare il nome utente di amministratore associato al cluster di database Amazon RDS, [crea un nuovo cluster di database RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) e modifica il nome utente amministratore predefinito durante la creazione del database.

## [RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato
<a name="rds-25"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoria**: Identificazione > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se hai cambiato il nome utente amministrativo per le istanze di database Amazon Relational Database Service (Amazon RDS) rispetto al valore predefinito. Il controllo fallisce se il nome utente amministrativo è impostato sul valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB) e alle istanze RDS che fanno parte di un cluster. 

I nomi utente amministrativi predefiniti sui database Amazon RDS sono di dominio pubblico. Quando crei un database Amazon RDS, devi modificare il nome utente amministrativo predefinito con un valore univoco per ridurre il rischio di accessi involontari.

### Correzione
<a name="rds-25-remediation"></a>

Per modificare il nome utente amministrativo associato a un'istanza di database RDS, [crea prima una nuova istanza di database RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Modifica il nome utente amministrativo predefinito durante la creazione del database.

## [RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
<a name="rds-26"></a>

**Categoria:** Recover > Resilience > Backup abilitati

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Il controllo restituisce un `PASSED` risultato se il parametro è impostato su true e la risorsa utilizza AWS Backup Vault Lock.  |  Booleano  |  `true` o `false`  |  Nessun valore predefinito  | 

Questo controllo valuta se le istanze database di Amazon RDS sono coperte da un piano di backup. Questo controllo fallisce se l'istanza DB RDS non è coperta da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se l'istanza è sottoposta a backup in un vault AWS Backup bloccato.

**Nota**  
Questo controllo non valuta le istanze di Neptune e DocumentDB. Inoltre, non valuta le istanze DB RDS che sono membri di un cluster.

AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare politiche di backup denominate piani di backup. È possibile utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e la durata di conservazione di tali backup. L'inclusione delle istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazioni involontarie.

### Correzione
<a name="rds-26-remediation"></a>

*Per aggiungere un'istanza DB RDS a un piano di AWS Backup backup, consulta [Assegnazione di risorse a un piano di backup nella Guida per gli](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) sviluppatori.AWS Backup *

## [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
<a name="rds-27"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster DB RDS è crittografato quando è inattivo. Il controllo ha esito negativo se un cluster RDS DB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster RDS DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest

### Correzione
<a name="rds-27-remediation"></a>

È possibile abilitare la crittografia a riposo quando si crea un cluster DB RDS. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, [consulta Encrypting an Amazon Aurora DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) cluster nella *Amazon Aurora User Guide*.

## [RDS.28] I cluster RDS DB devono essere etichettati
<a name="rds-28"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**AWS Config regola:** `tagged-rds-dbcluster` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un cluster Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-28-remediation"></a>

Per aggiungere tag a un cluster RDS DB, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.

## [RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
<a name="rds-29"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`

**AWS Config regola:** `tagged-rds-dbclustersnapshot` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se uno snapshot del cluster Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-29-remediation"></a>

Per aggiungere tag a uno snapshot del cluster RDS DB, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.

## [RDS.30] Le istanze DB RDS devono essere etichettate
<a name="rds-30"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**AWS Config regola:** `tagged-rds-dbinstance` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un'istanza DB di Amazon RDS ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se l'istanza DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza DB non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-30-remediation"></a>

Per aggiungere tag a un'istanza DB RDS, consulta [Tagging delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella *Amazon RDS* User Guide.

## [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
<a name="rds-31"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBSecurityGroup`

**AWS Config regola:** `tagged-rds-dbsecuritygroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gruppo di sicurezza Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il gruppo di sicurezza DB non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-31-remediation"></a>

Per aggiungere tag a un gruppo di sicurezza RDS DB, consulta [Tagging delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella *Amazon RDS* User Guide.

## [RDS.32] Gli snapshot RDS DB devono essere etichettati
<a name="rds-32"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBSnapshot`

**AWS Config regola:** `tagged-rds-dbsnapshot` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se uno snapshot di Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-32-remediation"></a>

Per aggiungere tag a uno snapshot DB RDS, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.

## [RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
<a name="rds-33"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBSubnetGroup`

**AWS Config regola:** `tagged-rds-dbsubnetgroups` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un gruppo di sottoreti Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sottoreti DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="rds-33-remediation"></a>

Per aggiungere tag a un sottogruppo di database RDS, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.

## [RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
<a name="rds-34"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non è configurato per pubblicare i log di controllo su Logs. CloudWatch Il controllo non genera risultati per i cluster DB Aurora Serverless v1.

I log di controllo registrano le attività del database, inclusi tentativi di accesso, modifiche dei dati, modifiche dello schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità. Quando configuri un cluster Aurora MySQL DB per pubblicare i log di controllo in un gruppo di log in Amazon CloudWatch Logs, puoi eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno storage altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

**Nota**  
Un modo alternativo per pubblicare i log di controllo su CloudWatch Logs consiste nell'abilitare il controllo avanzato e impostare il parametro DB a livello di cluster su. `server_audit_logs_upload` `1` L'impostazione predefinita per è. `server_audit_logs_upload parameter` `0` Tuttavia, per passare questo controllo, si consiglia di utilizzare le seguenti istruzioni di riparazione.

### Correzione
<a name="rds-34-remediation"></a>

*Per pubblicare i log di audit del cluster Aurora MySQL DB su Logs, CloudWatch consulta Pubblicazione dei log di Amazon Aurora [MySQL su Amazon Logs nella Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) User Guide. CloudWatch *

## [RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie
<a name="rds-35"></a>

**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un cluster Amazon RDS Multi-AZ DB. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per il cluster DB Multi-AZ.

RDS fornisce l'aggiornamento automatico delle versioni secondarie in modo da poter mantenere aggiornato il cluster DB Multi-AZ. Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sui cluster di database RDS, il cluster, insieme alle istanze del cluster, riceverà aggiornamenti automatici alla versione secondaria quando saranno disponibili nuove versioni. Gli aggiornamenti vengono applicati automaticamente durante la finestra di manutenzione.

### Correzione
<a name="rds-35-remediation"></a>

Per abilitare l'aggiornamento automatico delle versioni secondarie sui cluster DB Multi-AZ, consulta [Modificare un cluster DB Multi-AZ nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) *Amazon* RDS User Guide.

## [RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
<a name="rds-36"></a>

**Requisiti correlati: PCI DSS** v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Elenco separato da virgole dei tipi di log da pubblicare in Logs CloudWatch   |  StringList  |  Non personalizzabile  |  `postgresql`  | 

Questo controllo verifica se un'istanza DB Amazon RDS for PostgreSQL è configurata per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza DB PostgreSQL non è configurata per pubblicare i tipi di log menzionati nel parametro su Logs. `logTypes` CloudWatch 

La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un'istanza RDS. PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

### Correzione
<a name="rds-36-remediation"></a>

*Per pubblicare i log delle istanze di PostgreSQL DB in Logs, consulta Pubblicazione dei log di [PostgreSQL su Amazon CloudWatch Logs nella Amazon RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs). CloudWatch *

## [RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
<a name="rds-37"></a>

**Requisiti correlati: PCI DSS** v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Aurora PostgreSQL DB è configurato per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se il cluster Aurora PostgreSQL DB non è configurato per pubblicare i log PostgreSQL su Logs. CloudWatch 

La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un cluster RDS. Aurora PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su Logs centralizza la gestione CloudWatch dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

### Correzione
<a name="rds-37-remediation"></a>

*Per pubblicare i log del cluster Aurora PostgreSQL DB su Logs, consulta CloudWatch Pubblicazione dei log di Aurora PostgreSQL su Amazon Logs nella Amazon [RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html). CloudWatch *

## [RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
<a name="rds-38"></a>

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se una connessione a un'istanza di Amazon RDS for PostgreSQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il `rds.force_ssl` parametro per il gruppo di parametri associato all'istanza è impostato su `0` (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

### Correzione
<a name="rds-38-remediation"></a>

*Per richiedere che tutte le connessioni alla tua istanza DB RDS for PostgreSQL utilizzino SSL, consulta Using [SSL with a PostgreSQL DB nella Amazon RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html).*

## [RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
<a name="rds-39"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se una connessione a un'istanza di Amazon RDS for MySQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il `rds.require_secure_transport` parametro per il gruppo di parametri associato all'istanza è impostato su `0` (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

### Correzione
<a name="rds-39-remediation"></a>

*Per richiedere che tutte le connessioni alla tua istanza DB RDS for MySQL utilizzino SSL, consulta il [supporto SSL/TLS per le istanze DB MySQL su Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) nella Amazon RDS User Guide.*

## [RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch
<a name="rds-40"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Un elenco dei tipi di log che un'istanza DB di RDS per SQL Server deve essere configurata per pubblicare nei registri. CloudWatch Questo controllo ha esito negativo se un'istanza DB non è configurata per pubblicare un tipo di log specificato nell'elenco.  |  EnumList (massimo 2 elementi)  |  `agent`, `error`  |  `agent`, `error`  | 

Questo controllo verifica se un'istanza DB di Amazon RDS for Microsoft SQL Server è configurata per pubblicare log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza DB RDS per SQL Server non è configurata per pubblicare log su Logs. CloudWatch Facoltativamente, è possibile specificare i tipi di log per cui un'istanza DB deve essere configurata per la pubblicazione.

La registrazione del database fornisce record dettagliati delle richieste effettuate a un'istanza database Amazon RDS. La pubblicazione dei log su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno spazio di archiviazione altamente durevole. Inoltre, è possibile utilizzarlo per creare allarmi per errori specifici che possono verificarsi, ad esempio riavvii frequenti registrati in un registro degli errori. Allo stesso modo, è possibile creare allarmi per errori o avvisi registrati nei registri degli agenti di SQL Server relativi ai processi di SQL Agent.

### Correzione
<a name="rds-40-remediation"></a>

Per informazioni sulla pubblicazione dei log in CloudWatch Logs per un'istanza DB RDS for SQL Server, consulta i file di [log del database Amazon RDS for Microsoft SQL Server nella Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) *Service User* Guide.

## [RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito
<a name="rds-41"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se una connessione a un'istanza DB di Amazon RDS for Microsoft SQL Server è crittografata in transito. Il controllo fallisce se il `rds.force_ssl` parametro del gruppo di parametri associato all'istanza DB è impostato `0 (off)` su.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi di un cluster DB o tra un cluster DB e un'applicazione client. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che utenti non autorizzati intercettino il traffico di rete.

### Correzione
<a name="rds-41-remediation"></a>

Per informazioni sull'abilitazione SSL/TLS delle connessioni alle istanze DB di Amazon RDS che eseguono Microsoft SQL Server, consulta [Using SSL with a Microsoft SQL Server DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) nella *Amazon Relational* Database Service User Guide.

## [RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
<a name="rds-42"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7 NIST.800-53.r5 NIST.800-53.r5 SC-7 SI-3 (8), NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Un elenco dei tipi di log che un'istanza DB MariaDB deve essere configurata per pubblicare su Logs. CloudWatch Il controllo genera un `FAILED` risultato se un'istanza DB non è configurata per pubblicare un tipo di log specificato nell'elenco.  |  EnumList (massimo 4 elementi)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Questo controllo verifica se un'istanza Amazon RDS for MariaDB DB è configurata per pubblicare determinati tipi di log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza di MariaDB DB non è configurata per pubblicare i log su Logs. CloudWatch Puoi facoltativamente specificare quali tipi di log deve essere configurata per la pubblicazione di un'istanza DB MariaDB.

La registrazione del database fornisce record dettagliati delle richieste effettuate a un'istanza Amazon RDS for MariaDB DB. La pubblicazione dei log su Amazon CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di log. Inoltre, CloudWatch Logs conserva i log in uno storage durevole, che può supportare revisioni e verifiche di sicurezza, accesso e disponibilità. Con CloudWatch Logs, puoi anche creare allarmi e rivedere le metriche.

### Correzione
<a name="rds-42-remediation"></a>

*Per informazioni sulla configurazione di un'istanza Amazon RDS for MariaDB DB per pubblicare i log su Amazon Logs, consulta [Pubblicazione dei log di MariaDB CloudWatch su Amazon Logs nella Amazon CloudWatch Relational Database Service User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html).*

## [RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni
<a name="rds-43"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBProxy`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un proxy Amazon RDS DB richiede TLS per tutte le connessioni tra il proxy e l'istanza database RDS sottostante. Il controllo fallisce se il proxy non richiede TLS per tutte le connessioni tra il proxy e l'istanza DB RDS.

Amazon RDS Proxy può fungere da ulteriore livello di sicurezza tra le applicazioni client e le istanze DB RDS sottostanti. Ad esempio, puoi connetterti a un proxy RDS utilizzando TLS 1.3, anche se l'istanza DB sottostante supporta una versione precedente di TLS. Utilizzando RDS Proxy, è possibile applicare requisiti di autenticazione rigorosi per le applicazioni di database.

### Correzione
<a name="rds-43-remediation"></a>

Per informazioni sulla modifica delle impostazioni affinché un proxy Amazon RDS richieda TLS, consulta [Modifying an RDS proxy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) nella *Amazon Relational Database Service* User Guide.

## [RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito
<a name="rds-44"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se le connessioni a un'istanza Amazon RDS for MariaDB DB sono crittografate in transito. Il controllo fallisce se il gruppo di parametri DB associato all'istanza DB non è sincronizzato o il `require_secure_transport` parametro del gruppo di parametri non è impostato su. `ON`

**Nota**  
Questo controllo non valuta le istanze DB di Amazon RDS che utilizzano versioni di MariaDB precedenti alla versione 10.5. Il `require_secure_transport` parametro è supportato solo per le versioni di MariadB 10.5 e successive.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi di un cluster DB o tra un cluster DB e un'applicazione client. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che utenti non autorizzati intercettino il traffico di rete.

### Correzione
<a name="rds-44-remediation"></a>

*Per informazioni sull'abilitazione SSL/TLS delle connessioni a un'istanza Amazon RDS for MariaDB DB[, SSL/TLS consulta la sezione Richiesta di tutte le connessioni a un'istanza DB MariaDB nella Amazon Relational Database Service](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) User Guide.*

## [RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
<a name="rds-45"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Aurora MySQL DB ha la registrazione di controllo abilitata. Il controllo fallisce se il gruppo di parametri DB associato al cluster DB non è sincronizzato, il `server_audit_logging` parametro non è impostato su o il `server_audit_events` parametro è impostato su un valore vuoto. `1`

I log del database possono facilitare i controlli di sicurezza e accesso e aiutare a diagnosticare i problemi di disponibilità. I registri di controllo registrano le attività del database, inclusi i tentativi di accesso, le modifiche dei dati, le modifiche allo schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità.

### Correzione
<a name="rds-45-remediation"></a>

*Per informazioni sull'abilitazione della registrazione per un cluster Amazon Aurora MySQL DB, consulta Pubblicazione dei log di [Amazon Aurora MySQL su Amazon Logs nella Amazon Aurora User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html). CloudWatch *

## [RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet
<a name="rds-46"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::RDS::DBInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un'istanza database Amazon RDS è distribuita in una sottorete pubblica con un percorso verso un gateway Internet. Il controllo ha esito negativo se l'istanza DB RDS viene distribuita in una sottorete con un percorso verso un gateway Internet e la destinazione è impostata su o. `0.0.0.0/0` `::/0`

Effettuando il provisioning delle risorse Amazon RDS in sottoreti private, puoi impedire alle risorse RDS di ricevere traffico in entrata dalla rete Internet pubblica, impedendo così l'accesso involontario alle tue istanze DB RDS. Se le risorse RDS vengono fornite in una sottorete pubblica aperta a Internet, potrebbero essere vulnerabili a rischi come l'esfiltrazione dei dati.

### Correzione
<a name="rds-46-remediation"></a>

Per informazioni sul provisioning di una sottorete privata per un'istanza DB Amazon RDS, consulta [Working with a DB istance in a VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) nella *Amazon Relational Database Service* User Guide.

## [RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB
<a name="rds-47"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon RDS for PostgreSQL DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo ha esito negativo se il `CopyTagsToSnapshot` parametro è impostato su `false` per il cluster DB RDS for PostgreSQL.

La copia dei tag nelle istantanee del DB aiuta a mantenere il monitoraggio delle risorse, la governance e l'allocazione dei costi corretti tra le risorse di backup. Ciò consente l'identificazione coerente delle risorse, il controllo degli accessi e il monitoraggio della conformità sia nei database attivi che nelle relative istantanee. Le istantanee con tag appropriati migliorano le operazioni di sicurezza assicurando che le risorse di backup ereditino gli stessi metadati dei database di origine.

### Correzione
<a name="rds-47-remediation"></a>

*Per informazioni sulla configurazione di un cluster Amazon RDS for PostgreSQL DB per copiare automaticamente i tag negli snapshot DB[, consulta Tagging Amazon RDS resources](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella Amazon Relational Database Service User Guide.*

## [RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB
<a name="rds-48"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon RDS for MySQL DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo ha esito negativo se il `CopyTagsToSnapshot` parametro è impostato su `false` per il cluster DB RDS for MySQL.

La copia dei tag nelle istantanee del DB aiuta a mantenere il monitoraggio delle risorse, la governance e l'allocazione dei costi corretti tra le risorse di backup. Ciò consente l'identificazione coerente delle risorse, il controllo degli accessi e il monitoraggio della conformità sia nei database attivi che nelle relative istantanee. Le istantanee con tag appropriati migliorano le operazioni di sicurezza assicurando che le risorse di backup ereditino gli stessi metadati dei database di origine.

### Correzione
<a name="rds-48-remediation"></a>

*Per informazioni sulla configurazione di un cluster Amazon RDS for MySQL DB per copiare automaticamente i tag negli snapshot DB, [consulta Tagging Amazon RDS resources nella Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Relational Database Service User Guide.*

## [RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
<a name="rds-50"></a>

**Categoria:** Recover > Resilience > Backup abilitati 

**Gravità:** media

**Tipo di risorsa:** `AWS::RDS::DBCluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periodo minimo di conservazione del backup, espresso in giorni, per la verifica del controllo  |  Numero intero  |  `7` Da a `35`  |  `7`  | 

Questo controllo verifica se un cluster RDS DB ha un periodo minimo di conservazione dei backup. Il controllo ha esito negativo se il periodo di conservazione del backup è inferiore al valore del parametro specificato. A meno che non si fornisca un valore di parametro personalizzato, Security Hub utilizza un valore predefinito di 7 giorni.

Questo controllo verifica se un cluster RDS DB ha un periodo minimo di conservazione dei backup. Il controllo ha esito negativo se il periodo di conservazione del backup è inferiore al valore del parametro specificato. A meno che non si fornisca un valore del parametro cliente, Security Hub utilizza un valore predefinito di 7 giorni. Questo controllo si applica a tutti i tipi di cluster RDS DB, inclusi il cluster Aurora DB, i cluster DocumentDB, i cluster NeptuneDB, ecc.

### Correzione
<a name="rds-50-remediation"></a>

Per configurare il periodo di conservazione dei backup per un cluster RDS DB, modifica le impostazioni del cluster e imposta il periodo di conservazione del backup su almeno 7 giorni (o il valore specificato nel parametro di controllo). Per istruzioni dettagliate, consulta il [periodo di conservazione del backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) nella Guida per l'*utente di Amazon Relational Database Service*. *Per i cluster Aurora DB, consulta [Panoramica del backup e del ripristino di un cluster Aurora DB nella Guida per l'utente di Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) per Aurora.* Per altri tipi di cluster DB (ad esempio cluster DocumentDB), consulta la guida per l'utente del servizio corrispondente su come aggiornare il periodo di conservazione dei backup per il cluster. 

# Controlli CSPM del Security Hub per Amazon Redshift
<a name="redshift-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Redshift. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
<a name="redshift-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno 

Questo controllo verifica se i cluster Amazon Redshift sono accessibili pubblicamente. Valuta il `PubliclyAccessible` campo nell'elemento di configurazione del cluster. 

L'`PubliclyAccessible`attributo della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Quando il cluster è configurato con `PubliclyAccessible` set to`true`, si tratta di un'istanza connessa a Internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico.

Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato. A meno che non si intenda rendere il cluster accessibile pubblicamente, il cluster non deve essere configurato con `PubliclyAccessible` set to. `true`

### Correzione
<a name="redshift-1-remediation"></a>

Per aggiornare un cluster Amazon Redshift per disabilitare l'accesso pubblico, consulta [Modifying a cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) nella *Amazon* Redshift Management Guide. **Imposta l'**accesso pubblico** su No.**

## [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
<a name="redshift-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le connessioni ai cluster Amazon Redshift sono necessarie per utilizzare la crittografia in transito. Il controllo ha esito negativo se il parametro del cluster Amazon Redshift `require_SSL` non è impostato su. `True`

Il TLS può essere usato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate tramite TLS. La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. 

### Correzione
<a name="redshift-2-remediation"></a>

Per aggiornare un gruppo di parametri Amazon Redshift per richiedere la crittografia, consulta [Modificare un gruppo di parametri](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) nella *Amazon* Redshift Management Guide. **Impostato su `require_ssl` True.**

## [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
<a name="redshift-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-13 (5)

**Categoria: Recover > Resilience > Backup abilitati** 

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Periodo minimo di conservazione delle istantanee in giorni  |  Numero intero  |  `7` Da a `35`  |  `7`  | 

Questo controllo verifica se un cluster Amazon Redshift ha abilitato le istantanee automatiche e un periodo di conservazione maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se le istantanee automatiche non sono abilitate per il cluster o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub CSPM utilizza un valore predefinito di 7 giorni.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Rafforzano la resilienza dei sistemi. Amazon Redshift acquisisce istantanee periodiche per impostazione predefinita. Questo controllo verifica se le istantanee automatiche sono abilitate e conservate per almeno sette giorni. *Per ulteriori dettagli sugli snapshot automatizzati di Amazon Redshift, consulta la sezione Istantanee [automatizzate](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) nella Amazon Redshift Management Guide.*

### Correzione
<a name="redshift-3-remediation"></a>

Per aggiornare il periodo di conservazione degli snapshot per un cluster Amazon Redshift, [consulta Modifying a](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) cluster nella Amazon *Redshift* Management Guide. Per **Backup**, imposta la **conservazione delle istantanee** su un valore pari o superiore a 7.

## [Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
<a name="redshift-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**AWS Config regola:** `redshift-cluster-audit-logging-enabled` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno 

Questo controllo verifica se in un cluster Amazon Redshift è abilitata la registrazione di audit.

La registrazione di controllo di Amazon Redshift fornisce informazioni aggiuntive sulle connessioni e sulle attività degli utenti nel cluster. Questi dati possono essere archiviati e protetti in Amazon S3 e possono essere utili per controlli e indagini di sicurezza. Per ulteriori informazioni, consulta [Database audit logging](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) nella *Amazon Redshift* Management Guide.

### Correzione
<a name="redshift-4-remediation"></a>

Per configurare la registrazione di audit per un cluster Amazon Redshift, [consulta Configurazione del controllo con la](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) console nella Amazon *Redshift* Management Guide.

## [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati
<a name="redshift-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)

**Categoria**: Identificazione > Gestione delle vulnerabilità, delle patch e delle versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `allowVersionUpgrade = true`(non personalizzabile)

Questo controllo verifica se gli upgrade automatici delle versioni principali sono abilitati per il cluster Amazon Redshift.

L'abilitazione degli aggiornamenti automatici delle versioni principali garantisce che gli ultimi aggiornamenti delle versioni principali dei cluster Amazon Redshift vengano installati durante la finestra di manutenzione. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.

### Correzione
<a name="redshift-6-remediation"></a>

Per risolvere questo problema da AWS CLI, usa il comando Amazon `modify-cluster` Redshift e imposta `--allow-version-upgrade` l'attributo. `clustername`è il nome del tuo cluster Amazon Redshift.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
<a name="redshift-7"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Accesso privato alle API

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Redshift è `EnhancedVpcRouting` abilitato.

Il routing VPC migliorato impone a tutto il `UNLOAD` traffico tra il cluster `COPY` e gli archivi di dati di passare attraverso il tuo VPC. Puoi quindi utilizzare funzionalità VPC come gruppi di sicurezza e liste di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare VPC Flow Logs per monitorare il traffico di rete.

### Correzione
<a name="redshift-7-remediation"></a>

Per istruzioni dettagliate sulla riparazione, consulta Enhancing [Enhanced VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) routing nella Amazon *Redshift* Management Guide.

## [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore
<a name="redshift-8"></a>

**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2

**Categoria**: Identifica > Configurazione delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un cluster Amazon Redshift ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Questo controllo avrà esito negativo se il nome utente di amministratore per un cluster Redshift è impostato su. `awsuser`

Quando si crea un cluster Redshift, è necessario modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati al momento della configurazione. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.

### Correzione
<a name="redshift-8-remediation"></a>

Non puoi modificare il nome utente di amministratore per il tuo cluster Amazon Redshift dopo averlo creato. Per creare un nuovo cluster con un nome utente non predefinito, consulta la [Fase 1: Creare un cluster Amazon Redshift di esempio nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) Getting *Started Guide*.

## [Redshift.10] I cluster Redshift devono essere crittografati a riposo
<a name="redshift-10"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se i cluster Amazon Redshift sono crittografati quando sono inattivi. Il controllo fallisce se un cluster Redshift non è crittografato a riposo o se la chiave di crittografia è diversa dalla chiave fornita nel parametro della regola.

In Amazon Redshift è possibile attivare la crittografia del database per i cluster per proteggere ulteriormente i dati a riposo. Quando si attiva la crittografia per un cluster, i blocchi di dati e i metadati di sistema vengono crittografati per il cluster e i relativi snapshot. La crittografia dei dati inattivi è una best practice consigliata perché aggiunge un livello di gestione degli accessi ai dati. La crittografia dei cluster Redshift a riposo riduce il rischio che un utente non autorizzato possa accedere ai dati archiviati su disco.

### Correzione
<a name="redshift-10-remediation"></a>

Per modificare un cluster Redshift per utilizzare la crittografia KMS, consulta [Changing cluster encryption](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) nella *Amazon* Redshift Management Guide.

## [Redshift.11] I cluster Redshift devono essere etichettati
<a name="redshift-11"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**AWS Config regola:** `tagged-redshift-cluster` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un cluster Amazon Redshift dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="redshift-11-remediation"></a>

*Per aggiungere tag a un cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*

## [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
<a name="redshift-12"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Redshift::EventSubscription`

**AWS Config regola:** `tagged-redshift-eventsubscription` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="redshift-12-remediation"></a>

*Per aggiungere tag a un abbonamento di notifica di eventi Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*

## [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
<a name="redshift-13"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Redshift::ClusterSnapshot`

**AWS Config regola:** `tagged-redshift-clustersnapshot` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="redshift-13-remediation"></a>

*Per aggiungere tag a uno snapshot del cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*

## [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
<a name="redshift-14"></a>

**Categoria: Identificazione > Inventario > Etichettatura**

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config regola:** `tagged-redshift-clustersubnetgroup` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un sottogruppo di cluster Amazon Redshift ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sottoreti del cluster non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="redshift-14-remediation"></a>

*Per aggiungere tag a un sottogruppo di cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*

## [Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate
<a name="redshift-15"></a>

Requisiti **correlati**: PCI DSS v4.0.1/1.3.1

**Categoria:** Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

**Gravità:** alta

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un gruppo di sicurezza associato a un cluster Amazon Redshift ha regole di ingresso che consentono l'accesso alla porta del cluster da Internet (0.0.0.0/0 o: :/0). Il controllo fallisce se le regole di ingresso del gruppo di sicurezza consentono l'accesso alla porta del cluster da Internet.

Consentire l'accesso in entrata senza restrizioni alla porta del cluster Redshift (indirizzo IP con suffisso /0) può causare accessi non autorizzati o incidenti di sicurezza. Si consiglia di applicare il principio dell'accesso con privilegi minimi durante la creazione di gruppi di sicurezza e la configurazione delle regole in entrata.

### Correzione
<a name="redshift-15-remediation"></a>

Per limitare l'ingresso sulla porta del cluster Redshift a origini limitate, [consulta Work with security group](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) rules nella *Amazon VPC* User Guide. Aggiorna le regole in cui l'intervallo di porte corrisponde alla porta del cluster Redshift e l'intervallo di porte IP è 0.0.0.0/0.

## [Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
<a name="redshift-16"></a>

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::ClusterSubnetGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Il controllo verifica se un gruppo di sottoreti del cluster Amazon Redshift ha sottoreti provenienti da più di una zona di disponibilità (AZ). Il controllo fallisce se il gruppo di sottoreti del cluster non dispone di sottoreti provenienti da almeno due sottoreti diverse. AZs

La configurazione di sottoreti su più sottoreti AZs aiuta a garantire che il data warehouse Redshift possa continuare a funzionare anche quando si verificano eventi di errore.

### Correzione
<a name="redshift-16-remediation"></a>

*Per modificare un sottogruppo di cluster Redshift in modo che si estenda su più gruppi AZs, consulta [Modificare un sottogruppo di cluster nella Amazon Redshift Management Guide](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html).*

## [Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
<a name="redshift-17"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Redshift::ClusterParameterGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un gruppo di parametri del cluster Amazon Redshift ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il gruppo di parametri non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di parametri non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="redshift-17-remediation"></a>

Per informazioni sull'aggiunta di tag a un gruppo di parametri del cluster Amazon Redshift, consulta [Tag resources in Amazon Redshift nella Amazon](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Redshift Management *Guide*.

## [Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate
<a name="redshift-18"></a>

**Categoria: Recupero > Resilienza > Alta disponibilità**

**Gravità:** media

**Tipo di risorsa:** `AWS::Redshift::Cluster`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le implementazioni di più zone di disponibilità (Multi-AZ) sono abilitate per un cluster Amazon Redshift. Il controllo fallisce se le implementazioni Multi-AZ non sono abilitate per il cluster Amazon Redshift.

Amazon Redshift supporta implementazioni di più zone di disponibilità (Multi-AZ) per cluster con provisioning. Se le implementazioni Multi-AZ sono abilitate per un cluster, un data warehouse Amazon Redshift può continuare a funzionare in scenari di errore quando si verifica un evento imprevisto in una zona di disponibilità (AZ). Una distribuzione Multi-AZ distribuisce risorse di elaborazione in più di una zona di disponibilità ed è possibile accedervi tramite un singolo endpoint. In caso di guasto dell'intera zona AZ, le risorse di elaborazione rimanenti in un'altra zona sono disponibili per continuare a elaborare i carichi di lavoro. È possibile convertire un data warehouse Single-AZ esistente in un data warehouse Multi-AZ. Le risorse di elaborazione aggiuntive vengono quindi fornite in una seconda zona di disponibilità.

### Correzione
<a name="redshift-18-remediation"></a>

*Per informazioni sulla configurazione delle implementazioni Multi-AZ per un cluster Amazon Redshift, consulta [Convertire un data warehouse Single-AZ in un data warehouse Multi-AZ nella Amazon Redshift Management Guide](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html).*

# Controlli CSPM del Security Hub per Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Redshift Serverless. I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato
<a name="redshiftserverless-1"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

**Gravità:** alta

**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il routing VPC avanzato è abilitato per un gruppo di lavoro Amazon Redshift Serverless. Il controllo fallisce se il routing VPC avanzato è disabilitato per il gruppo di lavoro.

Se il routing VPC avanzato è disabilitato per un gruppo di lavoro Amazon Redshift Serverless, Amazon Redshift indirizza il traffico attraverso Internet, incluso il traffico verso altri servizi all'interno della rete. AWS Se abiliti il routing VPC avanzato per un gruppo di lavoro, Amazon Redshift impone tutto il `UNLOAD` traffico tra il cluster `COPY` e i tuoi repository di dati attraverso il tuo cloud privato virtuale (VPC) basato sul servizio Amazon VPC. Con il routing VPC migliorato, puoi utilizzare le funzionalità VPC standard per controllare il flusso di dati tra il cluster Amazon Redshift e altre risorse. Ciò include funzionalità come i gruppi di sicurezza VPC e le politiche degli endpoint, le liste di controllo degli accessi alla rete (ACLs) e i server DNS (Domain Name System). Puoi anche utilizzare i log di flusso in VPC per monitorare `COPY` il traffico. `UNLOAD`

### Correzione
<a name="redshiftserverless-1-remediation"></a>

*Per ulteriori informazioni sul routing VPC avanzato e su come abilitarlo per un gruppo di lavoro, consulta [Controlling network traffic with Redshift Enhanced VPC routing nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Management Guide.*

## [RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL
<a name="redshiftserverless-2"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se le connessioni a un gruppo di lavoro Serverless Amazon Redshift sono necessarie per crittografare i dati in transito. Il controllo fallisce se il parametro di `require_ssl` configurazione per il gruppo di lavoro è impostato su. `false`

Un gruppo di lavoro Serverless di Amazon Redshift è una raccolta di risorse di elaborazione che raggruppa risorse di calcolo come RPUs sottogruppi di sottoreti VPC e gruppi di sicurezza. Le proprietà di un gruppo di lavoro includono le impostazioni di rete e di sicurezza. Queste impostazioni specificano se devono essere necessarie le connessioni a un gruppo di lavoro per utilizzare SSL per crittografare i dati in transito.

### Correzione
<a name="redshiftserverless-2-remediation"></a>

*Per informazioni sull'aggiornamento delle impostazioni per un gruppo di lavoro Amazon Redshift Serverless per richiedere connessioni SSL, consulta Connecting to [Amazon Redshift Serverless nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) Management Guide.*

## [RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico
<a name="redshiftserverless-3"></a>

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'accesso pubblico è disabilitato per un gruppo di lavoro Serverless Amazon Redshift. Valuta la `publiclyAccessible` proprietà di un gruppo di lavoro Redshift Serverless. Il controllo fallisce se l'accesso pubblico è abilitato (`true`) per il gruppo di lavoro.

L'impostazione public access (`publiclyAccessible`) per un gruppo di lavoro Amazon Redshift Serverless specifica se è possibile accedere al gruppo di lavoro da una rete pubblica. Se l'accesso pubblico è abilitato (`true`) per un gruppo di lavoro, Amazon Redshift crea un indirizzo IP elastico che rende il gruppo di lavoro accessibile pubblicamente dall'esterno del VPC. Se non vuoi che un gruppo di lavoro sia accessibile al pubblico, disabilita l'accesso pubblico per esso.

### Correzione
<a name="redshiftserverless-3-remediation"></a>

*Per informazioni sulla modifica dell'impostazione di accesso pubblico per un gruppo di lavoro Serverless Amazon Redshift, consulta [Visualizzazione delle proprietà di un gruppo di lavoro nella](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) Amazon Redshift Management Guide.*

## [RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys
<a name="redshiftserverless-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), 2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se uno spazio dei nomi Redshift Serverless non è crittografato con una chiave KMS nell'elenco.  |  StringList (massimo 3 articoli)  |  1-3 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Nessun valore predefinito  | 

Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è crittografato quando è inattivo e gestito dal cliente. AWS KMS key Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS per il controllo da includere nella valutazione.

In Amazon Redshift Serverless, uno spazio dei nomi definisce un container logico per gli oggetti del database. Questo controllo verifica periodicamente se le impostazioni di crittografia per un namespace specificano una chiave KMS gestita dal cliente AWS KMS key, anziché una chiave KMS AWS gestita, per la crittografia dei dati nello spazio dei nomi. Con una chiave KMS gestita dal cliente, hai il pieno controllo della chiave. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave.

### Correzione
<a name="redshiftserverless-4-remediation"></a>

*Per informazioni sull'aggiornamento delle impostazioni di crittografia per uno spazio dei nomi Amazon Redshift Serverless e sulla specificazione di un namespace gestito dal cliente AWS KMS key, consulta [Changing the AWS KMS key for a namespace nella](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Amazon Redshift Management Guide.*

## [RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito
<a name="redshiftserverless-5"></a>

**Categoria: Identificazione > Configurazione delle risorse**

**Gravità:** media

**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless è il nome utente amministratore predefinito,. `admin` Il controllo fallisce se il nome utente di amministratore per lo spazio dei nomi Redshift Serverless è. `admin` 

Quando crei uno spazio dei nomi Amazon Redshift Serverless, devi specificare un nome utente amministratore personalizzato per lo spazio dei nomi. Il nome utente amministratore predefinito è di dominio pubblico. Specificando un nome utente di amministratore personalizzato, puoi, ad esempio, contribuire a mitigare il rischio o l'efficacia degli attacchi di forza bruta contro il namespace.

### Correzione
<a name="redshiftserverless-5-remediation"></a>

Puoi modificare il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless utilizzando la console o l'API Amazon Redshift Serverless. ****Per modificarlo utilizzando la console, scegli la configurazione dello spazio dei nomi, quindi scegli Modifica credenziali di amministratore nel menu Azioni.**** [Per modificarla a livello di codice, usa l'[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operazione o, se usi il, esegui il AWS CLI comando update-namespace.](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) Se modifichi il nome utente dell'amministratore, devi modificare contemporaneamente anche la password dell'amministratore.

## [RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
<a name="redshiftserverless-6"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è configurato per esportare i log di connessione e utente in Amazon Logs. CloudWatch Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è configurato per esportare i log in Logs. CloudWatch 

Se configuri Amazon Redshift Serverless per esportare i dati di log di connessione (`connectionlog`) e log utente (`userlog`) in un gruppo di log in Amazon CloudWatch Logs, puoi raccogliere e archiviare i tuoi record di log in uno storage durevole, che può supportare revisioni e verifiche di sicurezza, accesso e disponibilità. Con CloudWatch Logs, puoi anche eseguire analisi in tempo reale dei dati di log e utilizzarli CloudWatch per creare allarmi e rivedere i parametri.

### Correzione
<a name="redshiftserverless-6-remediation"></a>

Per esportare i dati di log per uno spazio dei nomi Amazon Redshift Serverless in CloudWatch Amazon Logs, è necessario selezionare i rispettivi log per l'esportazione nelle impostazioni di configurazione di audit logging per lo spazio dei nomi. Per informazioni sull'aggiornamento di queste impostazioni, consulta [Modifica della sicurezza e della crittografia](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) nella *Amazon Redshift Management* Guide.

# Controlli CSPM del Security Hub per Route 53
<a name="route53-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Route 53.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] I controlli sanitari della Route 53 devono essere etichettati
<a name="route53-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Route53::HealthCheck`

**AWS Config regola:** `tagged-route53-healthcheck` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un controllo dello stato di Amazon Route 53 contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il controllo dello stato non contiene alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il controllo di integrità non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="route53-1-remediation"></a>

Per aggiungere tag a un controllo di integrità della Route 53, consulta i [controlli di integrità di denominazione e etichettatura](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) nella *Amazon Route 53 Developer Guide*.

## [Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
<a name="route53-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Route53::HostedZone`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione delle query DNS è abilitata per una zona ospitata pubblica di Amazon Route 53. Il controllo fallisce se la registrazione delle query DNS non è abilitata per una zona ospitata pubblicamente su Route 53.

La registrazione delle query DNS per una zona ospitata su Route 53 soddisfa i requisiti di sicurezza e conformità DNS e garantisce la visibilità. I log includono informazioni quali il dominio o il sottodominio su cui è stata eseguita la query, la data e l'ora della query, il tipo di record DNS (ad esempio, A o AAAA) e il codice di risposta DNS (ad esempio o). `NoError` `ServFail` Quando la registrazione delle query DNS è abilitata, Route 53 pubblica i file di registro su Amazon Logs. CloudWatch 

### Correzione
<a name="route53-2-remediation"></a>

*Per registrare le query DNS per le zone ospitate pubbliche di Route 53, consulta [Configurazione della registrazione per le query DNS nella](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) Amazon Route 53 Developer Guide.*

# Controlli CSPM del Security Hub per Amazon S3
<a name="s3-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Storage Service (Amazon S3). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
<a name="s3-1"></a>

**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.1.4, benchmark CIS AWS Foundations versione 3.0.0/2.1.4, benchmark CIS AWS Foundations versione 1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**Tipo di pianificazione:** periodica

**Parametri:** 
+ `ignorePublicAcls`: `true` (non personalizzabile)
+ `blockPublicPolicy`: `true` (non personalizzabile)
+ `blockPublicAcls`: `true` (non personalizzabile)
+ `restrictPublicBuckets`: `true` (non personalizzabile)

Questo controllo verifica se le precedenti impostazioni di accesso pubblico a blocchi di Amazon S3 sono configurate a livello di account per un bucket S3 generico. Il controllo fallisce se una o più impostazioni di accesso pubblico a blocchi sono impostate su. `false`

Il controllo ha esito negativo se una delle impostazioni è impostata su o se una delle impostazioni non è configurata. `false`

Il blocco di accesso pubblico di Amazon S3 è progettato per fornire controlli su un intero bucket S3 Account AWS o a livello di singolo bucket S3 per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico a bucket e oggetti viene concesso tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.

A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di account.

Per ulteriori informazioni, consulta [Using Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) nella Guida per l'*utente di Amazon Simple Storage Service*.

### Correzione
<a name="s3-1-remediation"></a>

Per abilitare Amazon S3 Block Public Access per il tuo account Account AWS, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per il tuo account nella Guida per l'utente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) di *Amazon Simple Storage Service*.

## [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
<a name="s3-2"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3) NIST.800-53.r5 AC-6, (4)) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**Tipo di pianificazione:** periodica e con attivazione di modifiche

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in lettura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in lettura.

**Nota**  
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.

Alcuni casi d'uso potrebbero richiedere che tutti gli utenti di Internet siano in grado di leggere dal tuo bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere leggibile pubblicamente.

### Correzione
<a name="s3-2-remediation"></a>

Per bloccare l'accesso pubblico in lettura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.

## [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura
<a name="s3-3"></a>

**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Severità:** critica

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**Tipo di pianificazione:** periodica e con attivazione di modifiche

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in scrittura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in scrittura.

**Nota**  
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.

Alcuni casi d'uso prevedono che chiunque su Internet sia in grado di scrivere nel bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere scrivibile pubblicamente.

### Correzione
<a name="s3-3-remediation"></a>

Per bloccare l'accesso pubblico in scrittura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.

## [S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
<a name="s3-5"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3), (4), (1), NIST.800-53.r5 IA-5 (2) NIST.800-53.r5 AC-4, NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-7 NIST.800-53.R5 -171.r2 3.13.8 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS versione 3.2.1/4.1, PCI DSS versione 4.0.1/4.2.1 AWS NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico ha una politica che richiede richieste di utilizzo di SSL. Il controllo fallisce se la policy del bucket non richiede richieste di utilizzo di SSL.

I bucket S3 devono avere politiche che richiedono che tutte le richieste (`Action: S3:*`) accettino solo la trasmissione di dati tramite HTTPS nella politica delle risorse S3, indicata dalla chiave di condizione. `aws:SecureTransport`

### Correzione
<a name="s3-5-remediation"></a>

*Per aggiornare una policy sui bucket di Amazon S3 per impedire il trasporto non sicuro, consulta [Aggiungere una policy sui bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Storage Service.*

Aggiungi una dichiarazione di policy simile a quella riportata nella seguente policy. Sostituiscilo `amzn-s3-demo-bucket` con il nome del bucket che stai modificando.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Per ulteriori informazioni, consulta [Quale policy sui bucket S3 devo usare per rispettare la AWS Config](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) regola s3-? bucket-ssl-requests-only nel Knowledge Center *AWS ufficiale*.

## [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS
<a name="s3-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.13.4

**Categoria**: Protezione > Gestione sicura degli accessi > Azioni operative API sensibili limitate 

**Gravità:** alta

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (non personalizzabile)

Questo controllo verifica se una policy sui bucket generici di Amazon S3 impedisce ai principali di eseguire azioni negate sulle risorse nel bucket S3. Account AWS Il controllo fallisce se la bucket policy consente una o più delle azioni precedenti per un principale in un altro. Account AWS

L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se una policy S3 bucket consente l'accesso da account esterni, potrebbe causare l'esfiltrazione dei dati da parte di una minaccia interna o di un aggressore.

Il `blacklistedactionpatterns` parametro consente una valutazione corretta della regola per i bucket S3. Il parametro consente l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco. `blacklistedactionpatterns`

### Correzione
<a name="s3-6-remediation"></a>

Per aggiornare una policy sui bucket di Amazon S3 per rimuovere le autorizzazioni, consulta. [Aggiungere una policy bucket utilizzando la console Amazon S3 nella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Guida per l'utente di *Amazon Simple Storage Service*.

Nella pagina **Modifica policy bucket**, nella casella di testo per la modifica della policy, esegui una delle seguenti azioni:
+ Rimuovi le dichiarazioni che concedono ad altri Account AWS l'accesso alle azioni negate.
+ Rimuovi le azioni negate consentite dalle dichiarazioni.

## [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
<a name="s3-7"></a>

**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3::Bucket`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se in un bucket Amazon S3 per uso generico è abilitata la replica tra regioni. Il controllo fallisce se nel bucket non è abilitata la replica tra regioni.

La replica è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. AWS le migliori pratiche consigliano la replica per i bucket di origine e di destinazione di proprietà degli stessi. Account AWS Oltre alla disponibilità, è necessario prendere in considerazione altre impostazioni di protezione dei sistemi.

Questo controllo produce una `FAILED` ricerca per un bucket di destinazione di replica se non ha la replica tra regioni abilitata. Se esiste un motivo legittimo per cui il bucket di destinazione non necessita della replica tra regioni per essere abilitato, puoi sopprimere i risultati per questo bucket.

### Correzione
<a name="s3-7-remediation"></a>

*Per abilitare la replica tra regioni su un bucket S3, consulta [Configurazione della replica per i bucket di origine e destinazione di proprietà dello stesso account nella Guida per l'utente di Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) Service.* **Per **Source bucket, scegli Applica a tutti gli oggetti nel bucket**.**

## [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
<a name="s3-8"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** alta

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**
+ `excludedPublicBuckets`(non personalizzabile): un elenco separato da virgole di nomi di bucket S3 pubblici e noti e consentiti

Questo controllo verifica se un bucket generico Amazon S3 blocca l'accesso pubblico a livello di bucket. Il controllo fallisce se una delle seguenti impostazioni è impostata su: `false`
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Block Public Access a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico è concesso a bucket e oggetti tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.

A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di bucket.

### Correzione
<a name="s3-8-remediation"></a>

Per informazioni su come rimuovere l'accesso pubblico a livello di bucket, consulta [Bloccare l'accesso pubblico allo storage Amazon S3 nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) *User Guide*.

## [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
<a name="s3-9"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione degli accessi al server è abilitata per un bucket Amazon S3 per uso generico. Il controllo fallisce se la registrazione degli accessi al server non è abilitata. Quando la registrazione è abilitata, Amazon S3 fornisce i log di accesso per un bucket di origine a un bucket di destinazione scelto. Il bucket di destinazione deve trovarsi nello stesso Regione AWS del bucket di origine e non deve avere un periodo di conservazione predefinito configurato. Non è necessario che nel bucket di registrazione di destinazione sia abilitata la registrazione degli accessi al server ed è necessario eliminare i risultati relativi a questo bucket. 

La registrazione degli accessi al server fornisce registrazioni dettagliate delle richieste effettuate a un bucket. I log di accesso al server possono aiutare nei controlli di sicurezza e di accesso. Per ulteriori informazioni, consulta [Best practice di sicurezza per Amazon S3: abilitare la registrazione degli accessi ai server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Correzione
<a name="s3-9-remediation"></a>

*Per abilitare la registrazione degli accessi ai server Amazon S3, consulta Enabling Amazon [S3 server access logging nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) User Guide.*

## [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita
<a name="s3-10"></a>

**Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13** (5)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un bucket con versione generica di Amazon S3 ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita.

Ti consigliamo di creare una configurazione del ciclo di vita per il tuo bucket S3 per aiutarti a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto. 

### Correzione
<a name="s3-10-remediation"></a>

[Per ulteriori informazioni sulla configurazione del ciclo di vita su un bucket Amazon S3, consulta [Impostazione della configurazione del ciclo di vita su un bucket e Gestione del ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di vita dello storage.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)

## [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
<a name="s3-11"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (4), NIST.800-171.r2 3.3.8

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Elenco dei tipi di eventi S3 preferiti  |  EnumList (massimo 28 articoli)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Nessun valore predefinito  | 

Questo controllo verifica se le notifiche degli eventi S3 sono abilitate su un bucket Amazon S3 per uso generico. Il controllo fallisce se le notifiche degli eventi S3 non sono abilitate nel bucket. Se fornisci valori personalizzati per il `eventTypes` parametro, il controllo passa solo se le notifiche degli eventi sono abilitate per i tipi di eventi specificati.

Quando abiliti le notifiche di eventi S3, ricevi avvisi quando si verificano eventi specifici che influiscono sui bucket S3. Ad esempio, puoi ricevere notifiche sulla creazione, la rimozione e il ripristino degli oggetti. Queste notifiche possono avvisare i team competenti in caso di modifiche accidentali o intenzionali che possono portare all'accesso non autorizzato ai dati.

### Correzione
<a name="s3-11-remediation"></a>

*Per informazioni sul rilevamento delle modifiche ai bucket e agli oggetti S3, consulta Amazon S3 [Event Notifications nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) User Guide.*

## [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
<a name="s3-12"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico fornisce autorizzazioni utente con una lista di controllo degli accessi (ACL). Il controllo fallisce se un ACL è configurato per la gestione dell'accesso degli utenti al bucket.

ACLs sono meccanismi di controllo degli accessi legacy precedenti a IAM. Ti consigliamo invece di ACLs utilizzare le policy dei bucket S3 o le policy AWS Identity and Access Management (IAM) per gestire l'accesso ai bucket S3.

### Correzione
<a name="s3-12-remediation"></a>

Per passare questo controllo, devi disabilitarlo ACLs per i tuoi bucket S3. Per istruzioni, consulta la sezione [Controllo della proprietà degli oggetti e disattivazione del bucket nella Guida ACLs per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) l'*utente di Amazon Simple Storage Service*.

Per creare una policy per i bucket S3, consulta [Aggiungere una policy per i bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Per creare una policy utente IAM su un bucket S3, consulta [Controllare l'accesso a](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions) un bucket con le policy utente.

## [S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
<a name="s3-13"></a>

**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Categoria**: Proteggi > Protezione dei dati 

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Numero di giorni dopo la creazione dell'oggetto, quando gli oggetti vengono trasferiti a una classe di archiviazione specificata  |  Numero intero  |  `1` Da a `36500`  |  Nessun valore predefinito  | 
|  `targetExpirationDays`  |  Numero di giorni dopo la creazione dell'oggetto in cui gli oggetti vengono eliminati  |  Numero intero  |  `1` Da a `36500`  |  Nessun valore predefinito  | 
|  `targetTransitionStorageClass`  |  Tipo di classe di archiviazione S3 di destinazione  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Nessun valore predefinito  | 

Questo controllo verifica se un bucket Amazon S3 per uso generico ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita. Se fornisci valori personalizzati per uno o più dei parametri precedenti, il controllo passa solo se la policy include la classe di archiviazione, il tempo di eliminazione o il tempo di transizione specificati. 

La creazione di una configurazione del ciclo di vita per il tuo bucket S3 definisce le azioni che vuoi che Amazon S3 intraprenda durante la vita di un oggetto. Ad esempio, puoi trasferire oggetti in un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato.

### Correzione
<a name="s3-13-remediation"></a>

*Per informazioni sulla configurazione delle politiche del ciclo di vita su un bucket Amazon S3, consulta [Setting lifecycle configuration on a bucket e Managing your [storage lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) nella Amazon S3 User Guide.*

## [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
<a name="s3-14"></a>

**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Requisiti correlati:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.3.8

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico ha il controllo delle versioni abilitato. Il controllo fallisce se il controllo delle versioni è sospeso per il bucket.

Il controllo delle versioni mantiene più varianti di un oggetto nello stesso bucket S3. Puoi utilizzare il controllo delle versioni per conservare, recuperare e ripristinare versioni precedenti di un oggetto archiviato nel tuo bucket S3. Il controllo delle versioni ti aiuta a recuperare sia da azioni involontarie dell'utente che da errori delle applicazioni.

**Suggerimento**  
Man mano che il numero di oggetti in un bucket aumenta a causa del controllo delle versioni, è possibile impostare una configurazione del ciclo di vita per archiviare o eliminare automaticamente gli oggetti con versioni in base a regole. Per ulteriori informazioni, consulta [Amazon S3 Lifecycle Management](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/) for Versioned Objects.

### Correzione
<a name="s3-14-remediation"></a>

*Per utilizzare il controllo delle versioni su un bucket S3, consulta [Enabling versioning on bucket nella Amazon S3 User](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) Guide.*

## [S3.15] I bucket generici S3 devono avere Object Lock abilitato
<a name="s3-15"></a>

**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati

**Requisiti correlati:** NIST.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Modalità di conservazione di S3 Object Lock  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Nessun valore predefinito  | 

Questo controllo verifica se un bucket Amazon S3 per uso generico ha Object Lock abilitato. Il controllo fallisce se Object Lock non è abilitato per il bucket. Se fornite un valore personalizzato per il `mode` parametro, il controllo passa solo se S3 Object Lock utilizza la modalità di conservazione specificata.

È possibile utilizzare S3 Object Lock per memorizzare oggetti utilizzando un modello write-once-read-many (WORM). Object Lock può aiutare a impedire che gli oggetti nei bucket S3 vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinitamente. Puoi utilizzare il blocco oggetti S3 per soddisfare i requisiti normativi che richiedono uno storage WORM o aggiungere un ulteriore livello di protezione contro le modifiche e l'eliminazione degli oggetti.

### Correzione
<a name="s3-15-remediation"></a>

*Per configurare Object Lock per bucket S3 nuovi ed esistenti, consulta [Configuring S3 Object Lock nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) User Guide.* 

## [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
<a name="s3-17"></a>

**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest

**Requisiti correlati:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.r5 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.3.11 5.1

**Gravità:** media

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un bucket Amazon S3 per uso generico è crittografato con un AWS KMS key (SSE-KMS o DSSE-KMS). Il controllo fallisce se il bucket è crittografato con crittografia predefinita (SSE-S3).

La crittografia lato server (SSE) è la crittografia dei dati a destinazione da parte dell'applicazione o del servizio che li riceve. Se non diversamente specificato, i bucket S3 utilizzano le chiavi gestite di Amazon S3 (SSE-S3) per impostazione predefinita per la crittografia lato server. Tuttavia, per un maggiore controllo, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server (SSE-KMS o DSSE-KMS). AWS KMS keys Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando vi accedi.

### Correzione
<a name="s3-17-remediation"></a>

*Per crittografare un bucket S3 utilizzando SSE-KMS, consulta [Specificare la crittografia lato server con (SSE-KMS) nella Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) User Guide.* *Per crittografare un bucket S3 utilizzando DSSE-KMS, consulta [Specificare la crittografia lato server a doppio livello con ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) nella Guida per l'utente di Amazon S3.*

## [S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
<a name="s3-19"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::S3::AccessPoint`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un punto di accesso Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce se le impostazioni di blocco dell'accesso pubblico non sono abilitate per il punto di accesso.

La funzionalità Amazon S3 Block Public Access ti aiuta a gestire l'accesso alle tue risorse S3 a tre livelli: account, bucket e access point. Le impostazioni a ciascun livello possono essere configurate in modo indipendente, consentendoti di avere diversi livelli di restrizioni di accesso pubblico ai tuoi dati. Le impostazioni del punto di accesso non possono sovrascrivere individualmente le impostazioni più restrittive ai livelli superiori (livello di account o bucket assegnato al punto di accesso). Al contrario, le impostazioni a livello del punto di accesso sono additive, il che significa che completano e funzionano insieme alle impostazioni degli altri livelli. A meno che tu non voglia che un punto di accesso S3 sia accessibile al pubblico, devi abilitare le impostazioni di blocco dell'accesso pubblico.

### Correzione
<a name="s3-19-remediation"></a>

Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso dopo la creazione del punto di accesso. Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per impostazione predefinita quando crei un nuovo punto di accesso. È consigliabile lasciare tutte le impostazioni abilitate, a meno che tu non debba necessariamente disabilitarne una specifica. Per ulteriori informazioni, consulta [la sezione Gestione dell'accesso pubblico agli access point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) nella *Guida per l'utente di Amazon Simple Storage Service*.

## [S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
<a name="s3-20"></a>

**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria**: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3::Bucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'eliminazione dell'autenticazione a più fattori (MFA) è abilitata per un bucket Amazon S3 generico. Il controllo fallisce se l'eliminazione MFA non è abilitata per il bucket. Il controllo non produce risultati per i bucket con una configurazione del ciclo di vita.

Se abiliti il controllo delle versioni per un bucket S3 generico, puoi facoltativamente aggiungere un altro livello di sicurezza configurando l'eliminazione MFA per il bucket. In tal caso, il proprietario del bucket deve includere due forme di autenticazione in ogni richiesta per eliminare una versione di un oggetto nel bucket o modificare lo stato di controllo delle versioni del bucket. L'eliminazione MFA fornisce una maggiore sicurezza se, ad esempio, le credenziali di sicurezza del proprietario del bucket sono compromesse. L'eliminazione MFA può anche aiutare a prevenire le eliminazioni accidentali dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un dispositivo MFA con un codice MFA, che aggiunge un ulteriore livello di attrito e sicurezza all'azione di eliminazione.

**Nota**  
Questo controllo produce un `PASSED` risultato solo se l'eliminazione MFA è abilitata per il bucket generico S3. Per abilitare l'eliminazione MFA per un bucket, è necessario abilitare anche il controllo delle versioni per il bucket. Il controllo delle versioni del bucket è un metodo per archiviare più varianti di un oggetto S3 nello stesso bucket. Inoltre, solo il proprietario del bucket che ha effettuato l'accesso come utente root può abilitare l'eliminazione MFA ed eseguire azioni di eliminazione sul bucket. Non è possibile utilizzare MFA delete con un bucket con una configurazione del ciclo di vita.

### Correzione
<a name="s3-20-remediation"></a>

*Per informazioni sull'abilitazione del controllo delle versioni e sulla configurazione dell'eliminazione MFA per un bucket S3, consulta [Configuring MFA delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) nella Amazon Simple Storage Service User Guide.*

## [S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
<a name="s3-22"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.8, CIS AWS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS 

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di scrittura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi di scrittura dei dati per i bucket S3.

Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di scrittura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce un `PASSED` risultato se configuri un percorso multiregionale che registra eventi di sola scrittura o tutti i tipi di dati per tutti i bucket S3.

### Correzione
<a name="s3-22-remediation"></a>

*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*

## [S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
<a name="s3-23"></a>

**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di lettura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi dei dati di lettura per i bucket S3.

Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di lettura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce `PASSED` risultati se configuri un percorso multiregionale che registra eventi di sola lettura o tutti i tipi di eventi relativi ai dati per tutti i bucket S3.

### Correzione
<a name="s3-23-remediation"></a>

*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*

## [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
<a name="s3-24"></a>

**Requisiti correlati**: PCI DSS v4.0.1/1.4.4

**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

**Gravità:** alta

**Tipo di risorsa:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config regola:** `s3-mrap-public-access-blocked` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se un punto di accesso multiregionale Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce quando nel punto di accesso multiregionale non sono abilitate le impostazioni di blocco dell'accesso pubblico.

Le risorse accessibili al pubblico possono comportare accessi non autorizzati, violazioni dei dati o sfruttamento di vulnerabilità. Limitare l'accesso tramite misure di autenticazione e autorizzazione aiuta a salvaguardare le informazioni sensibili e a mantenere l'integrità delle risorse.

### Correzione
<a name="s3-24-remediation"></a>

Per impostazione predefinita, tutte le impostazioni Block Public Access sono abilitate per un punto di accesso multiregionale S3. Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico con punti di accesso multiregionali Amazon S3 nella Guida per l'](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)utente di *Amazon Simple Storage Service*. Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.

## [S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
<a name="s3-25"></a>

**Categoria:** Proteggi > Protezione dei dati

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::S3Express::DirectoryBucket`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  Il numero di giorni, dopo la creazione dell'oggetto, in cui gli oggetti devono scadere.  |  Numero intero  |  `1` Da a `2147483647`  |  Nessun valore predefinito  | 

Questo controllo verifica se le regole del ciclo di vita sono configurate per un bucket di directory S3. Il controllo fallisce se le regole del ciclo di vita non sono configurate per il bucket di directory o se una regola del ciclo di vita per il bucket specifica impostazioni di scadenza che non corrispondono al valore del parametro specificato facoltativamente.

In Amazon S3, una configurazione del ciclo di vita è un insieme di regole che definiscono le azioni che Amazon S3 deve applicare a un gruppo di oggetti in un bucket. Per un bucket di directory S3, puoi creare una regola del ciclo di vita che specifica quando gli oggetti scadono in base all'età (in giorni). Puoi anche creare una regola del ciclo di vita che elimini i caricamenti multiparte incompleti. A differenza di altri tipi di bucket S3, come i bucket generici, i bucket di directory non supportano altri tipi di azioni per le regole del ciclo di vita, come la transizione di oggetti tra classi di storage.

### Correzione
<a name="s3-25-remediation"></a>

Per definire una configurazione del ciclo di vita per un bucket di directory S3, crea una regola del ciclo di vita per il bucket. Per ulteriori informazioni, consulta [Creazione e gestione di una configurazione del ciclo di vita per il tuo bucket di directory nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) per l'utente di *Amazon Simple Storage Service*.

# Controlli CSPM Security Hub per AI SageMaker
<a name="sagemaker-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon SageMaker AI. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
<a name="sagemaker-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** alta

**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di notebook SageMaker AI. Il controllo fallisce se il `DirectInternetAccess` campo è abilitato per l'istanza del notebook. 

Se configuri la tua istanza SageMaker AI senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su **Disabilita: accedi a Internet tramite** un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta [Connettere un'istanza di notebook alle risorse in un VPC nella *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Dovresti inoltre assicurarti che l'accesso alla tua configurazione SageMaker AI sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare le impostazioni e le risorse SageMaker AI.

### Correzione
<a name="sagemaker-1-remediation"></a>

Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta [Use notebook instances to build models: Clean up](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta [Creare un'](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)istanza notebook. Per **Rete, accesso diretto a Internet**, scegli **Disabilita: accedi a Internet tramite un** VPC.

## [SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
<a name="sagemaker-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

**Gravità:** alta

**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza di notebook SageMaker AI non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker AI VPC.

Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze di SageMaker AI Studio e notebook.

### Correzione
<a name="sagemaker-2-remediation"></a>

Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta [Usare le istanze di notebook per creare modelli: pulisci](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*.

## [SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
<a name="sagemaker-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root

**Gravità:** alta

**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se l'accesso root è attivato per un'istanza di notebook Amazon SageMaker AI. Il controllo fallisce se l'accesso root è attivato per un'istanza di notebook SageMaker AI.

In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare il sovra-provisioning involontario delle autorizzazioni.

### Correzione
<a name="sagemaker-3-remediation"></a>

Per limitare l'accesso root alle istanze di notebook SageMaker AI, consulta [Controllare l'accesso root a un'istanza di notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) nella *Amazon SageMaker AI Developer Guide*.

## [SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1
<a name="sagemaker-4"></a>

**Requisiti correlati:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1

**Categoria:** Recupero > Resilienza > Alta disponibilità

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::EndpointConfig`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se le varianti di produzione di un endpoint Amazon SageMaker AI hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.

Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita dall'IA. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.

**Nota**  
Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.

### Correzione
<a name="sagemaker-4-remediation"></a>

Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta [Create an endpoint configuration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) nella *Amazon SageMaker AI Developer* Guide.

## [SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato
<a name="sagemaker-5"></a>

**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::Model`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un modello ospitato da Amazon SageMaker AI ha l'isolamento di rete abilitato. Il controllo fallisce se il `EnableNetworkIsolation` parametro per il modello ospitato è impostato su`False`.

SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza distribuiti sono abilitati a Internet per impostazione predefinita. Se non vuoi che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete. Se abiliti l'isolamento della rete, non è possibile effettuare chiamate di rete in entrata o in uscita da o verso il contenitore del modello, incluse le chiamate da o verso altri. Servizi AWS Inoltre, non vengono rese disponibili AWS credenziali per l'ambiente di runtime del contenitore. L'abilitazione dell'isolamento della rete aiuta a prevenire l'accesso involontario alle risorse di SageMaker intelligenza artificiale da Internet.

**Nota**  
Il 13 agosto 2025, Security Hub CSPM ha cambiato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più accurato che il controllo verifica l'impostazione del `EnableNetworkIsolation` parametro dei modelli ospitati da Amazon SageMaker AI. In precedenza, il titolo di questo controllo era: *SageMaker models should block inbound traffic*.

### Correzione
<a name="sagemaker-5-remediation"></a>

Per ulteriori informazioni sull'isolamento della rete per i modelli di SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei un modello, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`

## [SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
<a name="sagemaker-6"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SageMaker::AppImageConfig`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se la configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`) ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="sagemaker-6-remediation"></a>

Per aggiungere tag a una configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`), puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker le immagini devono essere taggate
<a name="sagemaker-7"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SageMaker::Image`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un'immagine Amazon SageMaker AI ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se l'immagine non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'immagine non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="sagemaker-7-remediation"></a>

Per aggiungere tag a un'immagine Amazon SageMaker AI, puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
<a name="sagemaker-8"></a>

**Categoria:** Rileva > Gestione di vulnerabilità, patch e versioni

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**Tipo di pianificazione:** periodica

**Parametri:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personalizzabile)

Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI è configurata per l'esecuzione su una piattaforma supportata, in base all'identificatore della piattaforma specificato per l'istanza del notebook. Il controllo fallisce se l'istanza del notebook è configurata per l'esecuzione su una piattaforma che non è più supportata.

Se la piattaforma per un'istanza di notebook Amazon SageMaker AI non è più supportata, potrebbe non ricevere patch di sicurezza, correzioni di bug o altri tipi di aggiornamenti. Le istanze notebook potrebbero continuare a funzionare, ma non riceveranno aggiornamenti di sicurezza SageMaker AI o correzioni di bug critici. Ti assumi i rischi associati all'utilizzo di una piattaforma non supportata. Per ulteriori informazioni, consulta il [JupyterLabcontrollo delle versioni](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) nella *Amazon SageMaker AI Developer Guide*.

### Correzione
<a name="sagemaker-8-remediation"></a>

Per informazioni sulle piattaforme attualmente supportate da Amazon SageMaker AI e su come migrare verso di esse, consulta le [istanze di notebook Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) nella *Amazon SageMaker AI Developer* Guide.

## [SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata
<a name="sagemaker-9"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una definizione di processo di qualità dei dati di Amazon SageMaker AI ha la crittografia abilitata per il traffico tra container. Il controllo fallisce se la definizione di un processo che monitora la qualità e la deriva dei dati non ha la crittografia abilitata per il traffico tra container.

L'abilitazione della crittografia del traffico tra container protegge i dati ML sensibili durante l'elaborazione distribuita per l'analisi della qualità dei dati. 

### Correzione
<a name="sagemaker-9-remediation"></a>

Per ulteriori informazioni sulla crittografia del traffico tra container per Amazon SageMaker AI, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare la crittografia del traffico tra container impostando il valore del parametro su. `EnableInterContainerTrafficEncryption` `True`

## [SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container
<a name="sagemaker-10"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una definizione di processo di spiegabilità SageMaker del modello Amazon ha abilitata la crittografia del traffico tra container. Il controllo fallisce se la definizione del processo di spiegabilità del modello non ha abilitato la crittografia del traffico tra container.

L'attivazione della crittografia del traffico tra container protegge i dati ML sensibili come i dati del modello, i set di dati di addestramento, i risultati di elaborazione intermedi, i parametri e i pesi dei modelli durante l'elaborazione distribuita per l'analisi della spiegabilità. 

### Correzione
<a name="sagemaker-10-remediation"></a>

Per quanto riguarda la definizione di un lavoro di spiegabilità SageMaker del modello esistente, la crittografia del traffico tra container non può essere aggiornata. Per creare una nuova definizione di processo di spiegabilità del SageMaker modello con la crittografia del traffico tra container abilitata, utilizza l'API [o la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) o](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e imposta su. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato
<a name="sagemaker-11"></a>

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una definizione di processo di monitoraggio della qualità dei dati di Amazon SageMaker AI ha l'isolamento della rete abilitato. Il controllo fallisce se l'isolamento della rete è disabilitato nella definizione di un processo che monitora la qualità e la deriva dei dati.

L'isolamento della rete riduce la superficie di attacco e impedisce l'accesso esterno, proteggendo in tal modo da accessi esterni non autorizzati, esposizione accidentale dei dati e potenziale esfiltrazione dei dati. 

### Correzione
<a name="sagemaker-11-remediation"></a>

Per ulteriori informazioni sull'isolamento della rete per l' SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`

## [SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato
<a name="sagemaker-12"></a>

**Categoria:** Protezione > Configurazione sicura della rete > Configurazione della politica delle risorse

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una definizione di job di polarizzazione SageMaker del modello ha l'isolamento della rete abilitato. Il controllo fallisce se nella definizione del processo di polarizzazione del modello non è abilitato l'isolamento della rete.

L'isolamento della rete impedisce ai job di SageMaker model bias di comunicare con risorse esterne su Internet. Abilitando l'isolamento della rete, vi assicurate che i container del job non possano effettuare connessioni in uscita, riducendo la superficie di attacco e proteggendo i dati sensibili dall'esfiltrazione. Ciò è particolarmente importante per i lavori che trattano dati regolamentati o sensibili.

### Correzione
<a name="sagemaker-12-remediation"></a>

Per abilitare l'isolamento della rete, è necessario creare una nuova definizione di job di polarizzazione del modello con il `EnableNetworkIsolation` parametro impostato `True` su. L'isolamento della rete non può essere modificato dopo la creazione della definizione del processo. Per creare una nuova definizione di job basato su modelli, consulta [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)la *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata
<a name="sagemaker-13"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::ModelQualityJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le definizioni dei processi di qualità dei SageMaker modelli Amazon hanno la crittografia in transito abilitata per il traffico tra container. Il controllo fallisce se una definizione di processo di qualità del modello non ha abilitato la crittografia del traffico tra container.

La crittografia del traffico tra container protegge i dati trasmessi tra i container durante i lavori di monitoraggio della qualità dei modelli distribuiti. Per impostazione predefinita, il traffico tra container non è crittografato. L'attivazione della crittografia aiuta a mantenere la riservatezza dei dati durante l'elaborazione e supporta la conformità ai requisiti normativi per la protezione dei dati in transito.

### Correzione
<a name="sagemaker-13-remediation"></a>

Per abilitare la crittografia del traffico tra container per la definizione del processo di qualità SageMaker del modello Amazon, devi ricreare la definizione del processo con la configurazione di crittografia in transito appropriata. Per creare una definizione di lavoro di qualità del modello, [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)consulta la *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato
<a name="sagemaker-14"></a>

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::MonitoringSchedule`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se nei piani di SageMaker monitoraggio di Amazon è abilitato l'isolamento della rete. Il controllo fallisce se una pianificazione di monitoraggio è EnableNetworkIsolation impostata su false o non è configurata

L'isolamento della rete impedisce ai job di monitoraggio di effettuare chiamate di rete in uscita, riducendo la superficie di attacco eliminando l'accesso a Internet dai container.

### Correzione
<a name="sagemaker-14-remediation"></a>

Per informazioni sulla configurazione dell'isolamento della rete nel NetworkConfig parametro durante la creazione o l'aggiornamento di una pianificazione di monitoraggio, consulta [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulta la *Amazon SageMaker AI Developer Guide*.

## [SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container
<a name="sagemaker-15"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se nelle definizioni dei job di Amazon SageMaker model bias è abilitata la crittografia del traffico tra container quando si utilizzano più istanze di calcolo. Il controllo ha esito negativo se `EnableInterContainerTrafficEncryption` è impostato su false o non è configurato per le definizioni dei processi con un numero di istanze pari o superiore a 2.

EInter-La crittografia del traffico dei container protegge i dati trasmessi tra le istanze di calcolo durante i processi di monitoraggio della distorsione del modello distribuito. La crittografia impedisce l'accesso non autorizzato alle informazioni relative al modello, come i pesi, che vengono trasmessi tra le istanze.

### Correzione
<a name="sagemaker-15-remediation"></a>

Per abilitare la crittografia del traffico tra container per le definizioni dei processi di distorsione dei SageMaker modelli, imposta il `EnableInterContainerTrafficEncryption` parametro su `True` quando la definizione del processo utilizza più istanze di calcolo. Per informazioni sulla protezione delle comunicazioni tra istanze di calcolo ML, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide. 

# Controlli CSPM di Security Hub per Secrets Manager
<a name="secretsmanager-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il Gestione dei segreti AWS servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
<a name="secretsmanager-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Protezione > Sviluppo protetto

**Gravità:** media

**Tipo di risorsa:** `AWS::SecretsManager::Secret`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Numero massimo di giorni consentito per la frequenza di rotazione segreta  |  Numero intero  |  `1` Da a `365`  |  Nessun valore predefinito  | 

Questo controllo verifica se un segreto memorizzato in Gestione dei segreti AWS è configurato con rotazione automatica. Il controllo fallisce se il segreto non è configurato con la rotazione automatica. Se si fornisce un valore personalizzato per il `maximumAllowedRotationFrequency` parametro, il controllo passa solo se il segreto viene ruotato automaticamente all'interno della finestra temporale specificata.

Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.

Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti. Per saperne di più sulla rotazione, consulta [Ruotare Gestione dei segreti AWS i tuoi segreti nella Guida](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) per l'*Gestione dei segreti AWS utente*.

### Correzione
<a name="secretsmanager-1-remediation"></a>

Per attivare la rotazione automatica per i segreti di Secrets Manager, consulta [Configurare la rotazione automatica per Gestione dei segreti AWS i segreti utilizzando la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) nella *Guida per l'Gestione dei segreti AWS utente*. È necessario scegliere e configurare una AWS Lambda funzione per la rotazione.

## [SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente
<a name="secretsmanager-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Protezione > Sviluppo protetto

**Gravità:** media

**Tipo di risorsa:** `AWS::SecretsManager::Secret`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un Gestione dei segreti AWS segreto è stato ruotato correttamente in base al programma di rotazione. Se lo `RotationOccurringAsScheduled` è`false`, il controllo fallisce. Il controllo valuta solo i segreti per i quali la rotazione è attivata.

Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.

Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti.

Oltre a configurare i segreti in modo che ruotino automaticamente, è necessario assicurarsi che tali segreti ruotino correttamente in base alla pianificazione di rotazione.

*Per ulteriori informazioni sulla rotazione, consulta [Rotating your Gestione dei segreti AWS secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella Guida per l'utente.Gestione dei segreti AWS *

### Correzione
<a name="secretsmanager-2-remediation"></a>

Se la rotazione automatica fallisce, Secrets Manager potrebbe aver riscontrato degli errori nella configurazione. Per ruotare i segreti in Secrets Manager, si utilizza una funzione Lambda che definisce come interagire con il database o il servizio proprietario del segreto.

*Per facilitare la diagnosi e la correzione degli errori comuni relativi alla rotazione dei segreti, consulta [Risoluzione dei problemi relativi alla Gestione dei segreti AWS rotazione dei segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) nella Guida per l'Gestione dei segreti AWS utente.*

## [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
<a name="secretsmanager-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::SecretsManager::Secret`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Numero massimo di giorni in cui un segreto può rimanere inutilizzato  |  Numero intero  |  `1` Da a `365`  |  `90`  | 

Questo controllo verifica se è stato effettuato l'accesso a un Gestione dei segreti AWS segreto entro il periodo di tempo specificato. Il controllo ha esito negativo se un segreto non viene utilizzato oltre il periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di accesso, Security Hub CSPM utilizza un valore predefinito di 90 giorni.

L'eliminazione dei segreti inutilizzati è importante tanto quanto la rotazione dei segreti. I segreti non utilizzati possono essere sfruttati in modo improprio dai precedenti utenti, che non hanno più bisogno di accedere a questi segreti. Inoltre, man mano che sempre più utenti accedono a un segreto, qualcuno potrebbe averlo gestito male e divulgato a un'entità non autorizzata, il che aumenta il rischio di abuso. L'eliminazione di segreti inutilizzati aiuta a revocare l'accesso segreto agli utenti che non ne hanno più bisogno. Inoltre aiuta a ridurre i costi di utilizzo di Secrets Manager. Pertanto, è essenziale eliminare regolarmente i segreti non utilizzati.

### Correzione
<a name="secretsmanager-3-remediation"></a>

Per eliminare i segreti inattivi di Secrets Manager, consulta [Eliminare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) nella *Guida per l'Gestione dei segreti AWS utente*.

## [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni
<a name="secretsmanager-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::SecretsManager::Secret`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**Tipo di pianificazione:** periodica

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Numero massimo di giorni in cui un segreto può rimanere invariato  |  Numero intero  |  `1` Da a `180`  |  `90`  | 

Questo controllo verifica se un Gestione dei segreti AWS segreto viene ruotato almeno una volta entro l'intervallo di tempo specificato. Il controllo fallisce se un segreto non viene ruotato almeno così frequentemente. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rotazione, Security Hub CSPM utilizza un valore predefinito di 90 giorni.

La rotazione dei segreti può aiutarti a ridurre il rischio di un uso non autorizzato dei tuoi segreti all'interno del tuo. Account AWS Gli esempi includono credenziali di database, password, chiavi API di terze parti e persino testo arbitrario. Se non modifichi i tuoi segreti per un lungo periodo di tempo, è più probabile che i segreti vengano compromessi.

Man mano che sempre più utenti accedono a un segreto, è più probabile che qualcuno lo abbia gestito male e lo abbia divulgato a un'entità non autorizzata. I segreti possono essere fatti trapelare attraverso i log e i dati della cache. Possono essere condivisi per scopi di debug e non modificati o revocati una volta completato il debug. Per tutti questi motivi, i segreti dovrebbero essere ruotati frequentemente.

È possibile configurare la rotazione automatica dei segreti in. Gestione dei segreti AWS Con la rotazione automatica, è possibile sostituire i segreti a lungo termine con quelli a breve termine, riducendo notevolmente il rischio di compromissione. Ti consigliamo di configurare la rotazione automatica per i tuoi segreti di Secrets Manager. Per ulteriori informazioni, consulta [Rotazione dei segreti Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. 

### Correzione
<a name="secretsmanager-4-remediation"></a>

Per attivare la rotazione automatica per i segreti di Secrets Manager, consulta [Configurare la rotazione automatica per Gestione dei segreti AWS i segreti utilizzando la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) nella *Guida per l'Gestione dei segreti AWS utente*. È necessario scegliere e configurare una AWS Lambda funzione per la rotazione.

## [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
<a name="secretsmanager-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SecretsManager::Secret`

**AWS Config regola:** `tagged-secretsmanager-secret` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un Gestione dei segreti AWS segreto contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il segreto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il segreto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="secretsmanager-5-remediation"></a>

Per aggiungere tag a un segreto di Secrets Manager, consulta [Tag Gestione dei segreti AWS secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida Gestione dei segreti AWS per l'utente*.

# Controlli CSPM Security Hub per AWS Service Catalog
<a name="servicecatalog-controls"></a>

Questo AWS Security Hub CSPM controllo valuta il AWS Service Catalog servizio e le risorse. Il controllo potrebbe non essere disponibile in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS
<a name="servicecatalog-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Categoria:** Protezione > Gestione degli accessi sicuri

**Gravità:** media

**Tipo di risorsa:** `AWS::ServiceCatalog::Portfolio`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se AWS Service Catalog condivide i portafogli all'interno di un'organizzazione quando l'integrazione con AWS Organizations è abilitata. Il controllo fallisce se i portafogli non sono condivisi all'interno di un'organizzazione.

La condivisione del portafoglio solo all'interno di Organizations aiuta a garantire che un portafoglio non venga condiviso con persone errate Account AWS. Per condividere un portafoglio Service Catalog con un account in un'organizzazione, Security Hub CSPM consiglia di utilizzare `ORGANIZATION_MEMBER_ACCOUNT` invece di. `ACCOUNT` Ciò semplifica l'amministrazione regolando l'accesso concesso all'account in tutta l'organizzazione. Se hai l'esigenza aziendale di condividere i portafogli Service Catalog con un account esterno, puoi [eliminare automaticamente i risultati](automation-rules.md) da questo controllo o [disabilitarlo](disable-controls-overview.md).

### Correzione
<a name="servicecatalog-1-remediation"></a>

Per abilitare la condivisione del portafoglio con AWS Organizations, consulta [Condivisione con AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) nella Guida per l'*AWS Service Catalog amministratore*.

# Controlli CSPM del Security Hub per Amazon SES
<a name="ses-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Email Service (Amazon SES).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] Gli elenchi di contatti SES devono essere etichettati
<a name="ses-1"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SES::ContactList`

**AWS Config regola:** `tagged-ses-contactlist` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un elenco di contatti di Amazon SES contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se l'elenco dei contatti non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'elenco dei contatti non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ses-1-remediation"></a>

Per aggiungere tag a un elenco di contatti di Amazon SES, consulta [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)*Amazon SES API v2 Reference*.

## [SES.2] I set di configurazione SES devono essere etichettati
<a name="ses-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SES::ConfigurationSet`

**AWS Config regola:** `tagged-ses-configurationset` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un set di configurazione Amazon SES contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il set di configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il set di configurazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="ses-2-remediation"></a>

Per aggiungere tag a un set di configurazione Amazon SES, consulta [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)*Amazon SES API v2 Reference*.

## [SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
<a name="ses-3"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit 

**Gravità:** media

**Tipo di risorsa:** `AWS::SES::ConfigurationSet`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un set di configurazione Amazon SES richiede connessioni TLS. Il controllo fallisce se la politica TLS non è impostata su `'REQUIRE'` per un set di configurazione.

Per impostazione predefinita, Amazon SES utilizza il TLS opportunistico, il che significa che le e-mail possono essere inviate in modo non crittografato se non è possibile stabilire una connessione TLS con il server di posta ricevente. L'applicazione del TLS per l'invio di e-mail garantisce che i messaggi vengano recapitati solo quando è possibile stabilire una connessione crittografata sicura. Questo aiuta a proteggere la riservatezza e l'integrità dei contenuti e-mail durante la trasmissione tra Amazon SES e il server di posta del destinatario. Se non è possibile stabilire una connessione TLS sicura, il messaggio non verrà recapitato, evitando la potenziale esposizione di informazioni sensibili.

**Nota**  
Sebbene TLS 1.3 sia il metodo di consegna predefinito per Amazon SES, senza imporre i requisiti TLS tramite set di configurazione, i messaggi potrebbero essere recapitati in testo semplice se una connessione TLS fallisce. Per passare questo controllo, è necessario configurare la politica TLS `'REQUIRE'` nelle opzioni di consegna del set di configurazione SES. Quando è richiesto TLS, i messaggi vengono recapitati solo se è possibile stabilire una connessione TLS con il server di posta ricevente.

### Correzione
<a name="ses-3-remediation"></a>

Per configurare Amazon SES in modo che richieda connessioni TLS per un set di configurazione, consulta [Amazon SES e i protocolli di sicurezza](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) nella *Amazon SES Developer Guide*.

# Controlli CSPM del Security Hub per Amazon SNS
<a name="sns-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Notification Service (Amazon SNS). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
<a name="sns-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16

**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::SNS::Topic`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un argomento Amazon SNS è crittografato a riposo utilizzando chiavi gestite in AWS Key Management Service ()AWS KMS. I controlli falliscono se l'argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). Per impostazione predefinita, SNS archivia messaggi e file utilizzando la crittografia del disco. Per passare questo controllo, devi invece scegliere di utilizzare una chiave KMS per la crittografia. Ciò aggiunge un ulteriore livello di sicurezza e offre una maggiore flessibilità nel controllo degli accessi.

La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Le autorizzazioni API sono necessarie per decrittografare i dati prima che possano essere letti. Ti consigliamo di crittografare gli argomenti SNS con chiavi KMS per un ulteriore livello di sicurezza.

### Correzione
<a name="sns-1-remediation"></a>

*Per abilitare SSE per un argomento SNS, consulta [Enabling server-side encryption (SSE) per un argomento Amazon SNS nella Amazon Simple Notification Service Developer](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) Guide.* Prima di poter utilizzare SSE, devi anche configurare AWS KMS key le politiche per consentire la crittografia degli argomenti e la crittografia e la decrittografia dei messaggi. Per ulteriori informazioni, consulta [Configurazione delle AWS KMS autorizzazioni](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) nella Guida per gli *sviluppatori di Amazon Simple Notification Service*.

## [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento
<a name="sns-2"></a>

**Importante**  
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).

**Requisiti correlati: NIST.800-53.r5 AU-12, NIST.800-53.r5** AU-2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::SNS::Topic`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento di Amazon SNS per gli endpoint. Questo controllo fallisce se la notifica dello stato di consegna dei messaggi non è abilitata.

La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni dei servizi. La registrazione dello stato di consegna dei messaggi aiuta a fornire informazioni operative, come le seguenti:
+ Sapere se un messaggio è stato consegnato all'endpoint Amazon SNS.
+ Identificare la risposta inviata dall'endpoint Amazon SNS a Amazon SNS.
+ Determinazione del tempo di permanenza del messaggio (il tempo tra il timestamp di pubblicazione e il trasferimento a un endpoint Amazon SNS).

### Correzione
<a name="sns-2-remediation"></a>

Per configurare la registrazione dello stato di consegna per un argomento, consulta lo stato di [consegna dei messaggi di Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) *Notification Service Developer* Guide.

## [SNS.3] Gli argomenti SNS devono essere etichettati
<a name="sns-3"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SNS::Topic`

**AWS Config regola:** `tagged-sns-topic` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un argomento di Amazon SNS contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'argomento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'argomento non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="sns-3-remediation"></a>

Per aggiungere tag a un argomento SNS, consulta [Configurazione dei tag degli argomenti di Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) *Notification Service Developer* Guide.

## [SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
<a name="sns-4"></a>

**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::SNS::Topic`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la policy di accesso agli argomenti di Amazon SNS consente l'accesso pubblico. Questo controllo fallisce se la policy di accesso agli argomenti di SNS consente l'accesso pubblico.

Utilizzi una policy di accesso di Amazon SNS con un argomento particolare per limitare chi può lavorare su quell'argomento (ad esempio, chi può pubblicare messaggi sull'argomento o chi può abbonarsi). Le policy SNS possono concedere l'accesso ad altri Account AWS utenti o a utenti interni al tuo. Account AWS L'immissione di una jolly (\$1) nel `Principal` campo della policy tematica e la mancanza di condizioni che limitino tale policy può comportare l'esfiltrazione dei dati, la negazione del servizio o l'inserimento indesiderato di messaggi nel servizio da parte di un utente malintenzionato.

**Nota**  
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella politica di accesso di Amazon SNS per un argomento devono utilizzare solo valori fissi, ovvero valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.

### Correzione
<a name="sns-4-remediation"></a>

Per aggiornare le politiche di accesso per un argomento SNS, consulta [Panoramica della gestione degli accessi in Amazon SNS nella Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) *Simple Notification Service Developer* Guide.

# Controlli CSPM del Security Hub per Amazon SQS
<a name="sqs-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Queue Service (Amazon SQS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
<a name="sqs-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::SQS::Queue`

**AWS Config regola:** `sqs-queue-encrypted` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:** nessuno

Questo controllo verifica se una coda Amazon SQS è crittografata quando è inattiva. Il controllo fallisce se la coda non è crittografata con una chiave gestita da SQS (SSE-SQS) o una chiave () (SSE-KMS). AWS Key Management Service AWS KMS

La crittografia dei dati inattivi riduce il rischio che un utente non autorizzato acceda ai dati archiviati su disco. La crittografia lato server (SSE) protegge il contenuto dei messaggi nelle code SQS utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi (SSE-KMS). AWS KMS 

### Correzione
<a name="sqs-1-remediation"></a>

*Per configurare SSE per una coda SQS, consulta [Configurazione della crittografia lato server (SSE) per una coda (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) Guide.*

## [SQS.2] Le code SQS devono essere etichettate
<a name="sqs-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SQS::Queue`

**AWS Config regola:** `tagged-sqs-queue` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se una coda Amazon SQS ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la coda non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="sqs-2-remediation"></a>

*Per aggiungere tag a una coda esistente utilizzando la console Amazon SQS, [consulta Configuring cost allocation tags for a Amazon SQS queue (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) Guide.*

## [SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
<a name="sqs-3"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::SQS::Queue`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una policy di accesso di Amazon SQS consente l'accesso pubblico a una coda SQS. Il controllo fallisce se una policy di accesso SQS consente l'accesso pubblico alla coda.

Una policy di accesso di Amazon SQS può consentire l'accesso pubblico a una coda SQS, il che potrebbe consentire a un utente anonimo o a qualsiasi identità AWS IAM autenticata di accedere alla coda. Le policy di accesso SQS in genere forniscono questo accesso specificando il carattere jolly (`*`) nell'`Principal`elemento della policy, non utilizzando condizioni adeguate per limitare l'accesso alla coda, o entrambe le cose. Se una politica di accesso SQS consente l'accesso pubblico, terze parti potrebbero essere in grado di eseguire attività come ricevere messaggi dalla coda, inviare messaggi alla coda o modificare la politica di accesso per la coda. Ciò potrebbe causare eventi come l'esfiltrazione di dati, l'interruzione del servizio o l'inserimento di messaggi nella coda da parte di un autore della minaccia.

**Nota**  
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy di accesso di Amazon SQS per una coda devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. *Per informazioni sulle variabili di policy, consulta [Variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella Guida per l'AWS Identity and Access Management utente.*

### Correzione
<a name="sqs-3-remediation"></a>

*Per informazioni sulla configurazione della policy di accesso SQS per una coda SQS, consulta [Using custom policies with the Amazon SQS Access Policy Language nella Amazon Simple](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Queue Service Developer Guide.*

# Controlli CSPM Security Hub per Step Functions
<a name="stepfunctions-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Step Functions servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
<a name="stepfunctions-1"></a>

**Requisiti correlati:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::StepFunctions::StateMachine`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Livello minimo di registrazione  |  Enum  |  `ALL, ERROR, FATAL`  |  Nessun valore predefinito  | 

Questo controlla se una macchina a AWS Step Functions stati ha la registrazione attivata. Il controllo fallisce se una macchina a stati non ha la registrazione attivata. Se si fornisce un valore personalizzato per il `logLevel` parametro, il controllo passa solo se la macchina a stati ha il livello di registrazione specificato attivato.

Il monitoraggio aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Step Functions. È necessario raccogliere tutti i dati di monitoraggio Servizi AWS che si utilizzano in modo da poter eseguire più facilmente il debug degli errori multipunto. Avere una configurazione di registrazione definita per le tue macchine a stati Step Functions ti consente di tenere traccia della cronologia di esecuzione e dei risultati in Amazon CloudWatch Logs. Facoltativamente, puoi tenere traccia solo degli errori o degli eventi fatali.

### Correzione
<a name="stepfunctions-1-remediation"></a>

Per attivare la registrazione per una macchina a stati Step Functions, consulta [Configure logging](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) nella *AWS Step Functions Developer* Guide.

## [StepFunctions.2] Le attività di Step Functions devono essere etichettate
<a name="stepfunctions-2"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::StepFunctions::Activity`

**AWS Config regola:** `tagged-stepfunctions-activity` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Nessun valore predefinito  | 

Questo controllo verifica se un' AWS Step Functions attività ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="stepfunctions-2-remediation"></a>

Per aggiungere tag a un'attività di Step Functions, consulta [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) nella *AWS Step Functions Developer Guide*.

# Controlli CSPM Security Hub per Systems Manager
<a name="ssm-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Systems Manager (SSM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager
<a name="ssm-1"></a>

**Requisiti correlati:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-3

**Categoria:** Identificazione > Inventario

**Gravità:** media

**Risorsa valutata:** `AWS::EC2::Instance`

**Risorse AWS Config di registrazione richieste:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se le istanze EC2 interrotte e in esecuzione nel tuo account sono gestite da. AWS Systems Manager Systems Manager è uno Servizio AWS strumento che puoi utilizzare per visualizzare e controllare la tua AWS infrastruttura.

Per aiutarti a mantenere la sicurezza e la conformità, Systems Manager analizza le istanze gestite interrotte e in esecuzione. Un'istanza gestita è una macchina configurata per l'uso con Systems Manager. Systems Manager segnala quindi o intraprende azioni correttive in caso di violazioni delle policy rilevate. Systems Manager consente inoltre di configurare e mantenere le istanze gestite. Per ulteriori informazioni, consulta la [Guida per l'utente di AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**Nota**  
Questo controllo genera `FAILED` risultati per le istanze EC2 che sono istanze di AWS Elastic Disaster Recovery Replication Server gestite da. AWS Un'istanza Replication Server è un'istanza EC2 che viene avviata automaticamente AWS Elastic Disaster Recovery per supportare la replica continua dei dati dai server di origine. AWS rimuove intenzionalmente l'agente Systems Manager (SSM) da queste istanze per mantenere l'isolamento e aiutare a prevenire potenziali percorsi di accesso non intenzionali.

### Correzione
<a name="ssm-1-remediation"></a>

*Per informazioni sulla gestione delle istanze EC2 con AWS Systems Manager, consulta la gestione degli [host di Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) nella AWS Systems Manager Guida per l'utente.* Nella sezione **Opzioni di configurazione** della AWS Systems Manager console, puoi mantenere le impostazioni predefinite o modificarle secondo necessità per la tua configurazione preferita.

## [SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch
<a name="ssm-2"></a>

**Requisiti correlati:** NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (3), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), NIST.800-171.r2 3.7.1, PCI DSS versione 3.2.1/6.2, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3

**Categoria:** Rilevamento > Servizi di rilevamento 

**Gravità:** alta

**Tipo di risorsa:** `AWS::SSM::PatchCompliance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se lo stato di conformità della patch di Systems Manager è `COMPLIANT` o `NON_COMPLIANT` dopo l'installazione della patch sull'istanza. Il controllo ha esito negativo se lo stato di conformità è`NON_COMPLIANT`. Il controllo controlla solo le istanze gestite da Systems Manager Patch Manager.

L'applicazione di patch alle istanze EC2 come richiesto dall'organizzazione riduce la superficie di attacco della vostra. Account AWS

### Correzione
<a name="ssm-2-remediation"></a>

Systems Manager consiglia di utilizzare [le policy di patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) per configurare l'applicazione delle patch per le istanze gestite. È inoltre possibile utilizzare [i documenti Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), come descritto nella procedura seguente, per applicare patch a un'istanza.

**Per correggere le patch non conformi**

1. Aprire la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Per **Gestione dei nodi**, scegli **Esegui comando**, quindi scegli **Esegui comando**.

1. Scegli l'opzione per **AWS- RunPatchBaseline**.

1. Modificare l'**operazione** su **Install (Installa)**.

1. **Scegli le istanze manualmente**, quindi scegli le istanze non conformi.

1. Scegli **Esegui**.

1. **Una volta completato il comando, per monitorare il nuovo stato di conformità delle istanze a cui è stata applicata la patch, scegli Conformità nel riquadro di navigazione.**

## [SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT
<a name="ssm-3"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS versione 3.2.2.4, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SSM::AssociationCompliance`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se lo stato della conformità dell' AWS Systems Manager associazione è `COMPLIANT` o `NON_COMPLIANT` dopo l'esecuzione dell'associazione su un'istanza. Il controllo ha esito negativo se lo stato di conformità dell'associazione è`NON_COMPLIANT`.

Un'associazione State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che desideri mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle istanze o che determinate porte devono essere chiuse. 

Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili. È possibile visualizzare lo stato di conformità nella console o in risposta ai AWS CLI comandi o alle azioni API Systems Manager corrispondenti. Per le associazioni, Configuration Compliance mostra lo stato di conformità (`Compliant`o`Non-compliant`). Mostra anche il livello di gravità assegnato all'associazione, ad esempio `Critical` o`Medium`.

Per ulteriori informazioni sulla conformità dell'associazione State Manager, vedere [Informazioni sulla conformità all'associazione State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) nella *Guida per l'AWS Systems Manager utente*.

### Correzione
<a name="ssm-3-remediation"></a>

Un'associazione fallita può essere correlata a diversi fattori, tra cui destinazioni e nomi di documenti Systems Manager. Per risolvere questo problema, è necessario innanzitutto identificare e analizzare l'associazione visualizzando la cronologia delle associazioni. Per istruzioni sulla visualizzazione della cronologia delle associazioni, vedere [Visualizzazione della cronologia delle associazioni nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) per l'*AWS Systems Manager utente*.

Dopo aver esaminato, è possibile modificare l'associazione per correggere il problema identificato. Puoi modificare un'associazione per specificare un nome, una pianificazione, un livello di gravità o target nuovi. Dopo aver modificato un'associazione, AWS Systems Manager crea una nuova versione. Per istruzioni sulla modifica di un'associazione, consulta [Modifica e creazione di una nuova versione di un'associazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) nella *Guida per l'AWS Systems Manager utente*.

## [SSM.4] I documenti SSM non devono essere pubblici
<a name="ssm-4"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::SSM::Document`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se AWS Systems Manager i documenti di proprietà di un account sono pubblici. Il controllo fallisce se i documenti di Systems Manager che hanno `Self` come proprietario sono pubblici.

I documenti pubblici di Systems Manager potrebbero consentire l'accesso non intenzionale ai documenti. Un documento pubblico di Systems Manager può esporre informazioni preziose sull'account, sulle risorse e sui processi interni.

A meno che il tuo caso d'uso non richieda la condivisione pubblica, ti consigliamo di bloccare la condivisione pubblica per i documenti di Systems Manager che hai `Self` come proprietario.

### Correzione
<a name="ssm-4-remediation"></a>

Per informazioni sulla configurazione della condivisione per i documenti di Systems Manager, vedere [Condividi un documento SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) per l'*AWS Systems Manager utente*.

## [SSM.5] I documenti SSM devono essere etichettati
<a name="ssm-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::SSM::Document`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Systems Manager documento ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il documento non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il documento non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Il controllo non valuta i documenti Systems Manager di proprietà di Amazon.

Un tag è un'etichetta che crei e assegni a una AWS risorsa. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="ssm-5-remediation"></a>

Per aggiungere tag a un AWS Systems Manager documento, puoi utilizzare il [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)funzionamento dell' AWS Systems Manager API o, se utilizzi il AWS CLI, eseguire il [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Puoi anche utilizzare la console AWS Systems Manager .

## [SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
<a name="ssm-6"></a>

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la CloudWatch registrazione di Amazon è abilitata per l'automazione AWS Systems Manager (SSM). Il controllo fallisce se la CloudWatch registrazione non è abilitata per SSM Automation.

SSM Automation è uno AWS Systems Manager strumento che ti aiuta a creare soluzioni automatizzate per distribuire, configurare e gestire AWS risorse su larga scala utilizzando runbook predefiniti o personalizzati. Per soddisfare i requisiti operativi o di sicurezza dell'organizzazione, potrebbe essere necessario fornire un registro degli script eseguiti. Puoi configurare SSM Automation per inviare l'output `aws:executeScript` delle azioni nei tuoi runbook a un gruppo di log Amazon CloudWatch Logs da te specificato. Con CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi file. Servizi AWS

### Correzione
<a name="ssm-6-remediation"></a>

*Per informazioni sull'abilitazione della CloudWatch registrazione per SSM Automation, consulta l'[output dell'azione Logging Automation with CloudWatch Logs](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) nella Guida per l'utente.AWS Systems Manager *

## [SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
<a name="ssm-7"></a>

**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

**Severità:** critica

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se l'impostazione di blocco della condivisione pubblica è abilitata per AWS Systems Manager i documenti. Il controllo fallisce se l'impostazione di blocco della condivisione pubblica è disabilitata per i documenti di Systems Manager.

L'impostazione di condivisione pubblica a blocchi per i documenti AWS Systems Manager (SSM) è un'impostazione a livello di account. L'attivazione di questa impostazione può impedire l'accesso indesiderato ai documenti SSM. Se abiliti questa impostazione, la modifica non influirà sui documenti SSM che stai attualmente condividendo con il pubblico. A meno che il tuo caso d'uso non richieda la condivisione di documenti SSM con il pubblico, ti consigliamo di abilitare l'impostazione di blocco della condivisione pubblica. L'impostazione può essere diversa per ognuno di essi Regione AWS.

### Correzione
<a name="ssm-7-remediation"></a>

Per informazioni sull'attivazione dell'impostazione di blocco della condivisione pubblica per i documenti AWS Systems Manager (SSM), consulta [Bloccare la condivisione pubblica per i documenti SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) per l'*AWS Systems Manager utente*.

# Controlli CSPM Security Hub per AWS Transfer Family
<a name="transfer-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS Transfer Family servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
<a name="transfer-1"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Transfer::Workflow`

**AWS Config regola:** `tagged-transfer-workflow` (regola CSPM Security Hub personalizzata)

**Tipo di pianificazione: modifica attivata**

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Questo controllo verifica se un AWS Transfer Family flusso di lavoro ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il flusso di lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso di lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*

### Correzione
<a name="transfer-1-remediation"></a>

**Per aggiungere tag a un flusso di lavoro Transfer Family (console)**

1. Apri la AWS Transfer Family console.

1. Nel pannello di navigazione, scegli **Workflows** (Flussi di lavoro). Quindi, seleziona il flusso di lavoro a cui desideri taggare.

1. Scegli **Gestisci tag**, quindi aggiungi i tag.

## [Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint
<a name="transfer-2"></a>

**Requisiti correlati:**, PCI DSS NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 NIST.800-53.r5 SC-8 v4.0.1/4.2.1

**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit

**Gravità:** media

**Tipo di risorsa:** `AWS::Transfer::Server`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se un AWS Transfer Family server utilizza un protocollo diverso dall'FTP per la connessione agli endpoint. Il controllo fallisce se il server utilizza il protocollo FTP per consentire a un client di connettersi all'endpoint del server.

L'FTP (File Transfer Protocol) stabilisce la connessione all'endpoint tramite canali non crittografati, rendendo i dati inviati su questi canali vulnerabili all'intercettazione. L'utilizzo di SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) o AS2 (Applicability Statement 2) offre un ulteriore livello di sicurezza crittografando i dati in transito e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete.

### Correzione
<a name="transfer-2-remediation"></a>

Per modificare il protocollo per un server Transfer Family, vedere [Modifica i protocolli di trasferimento dei file](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) nella *Guida per l'AWS Transfer Family utente*.

## [Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
<a name="transfer-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::Transfer::Connector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se la CloudWatch registrazione di Amazon è abilitata per un AWS Transfer Family connettore. Il controllo fallisce se CloudWatch la registrazione non è abilitata per il connettore.

Amazon CloudWatch è un servizio di monitoraggio e osservabilità che offre visibilità sulle tue AWS risorse, comprese le AWS Transfer Family risorse. Per Transfer Family, CloudWatch fornisce un controllo e una registrazione consolidati per l'avanzamento e i risultati del flusso di lavoro. Ciò include diverse metriche che Transfer Family definisce per i flussi di lavoro. È possibile configurare Transfer Family per registrare automaticamente gli eventi del connettore CloudWatch. A tale scopo, è necessario specificare un ruolo di registrazione per il connettore. Per il ruolo di registrazione, crei un ruolo IAM e una policy IAM basata sulle risorse che definisce le autorizzazioni per il ruolo.

### Correzione
<a name="transfer-3-remediation"></a>

Per informazioni sull'abilitazione della CloudWatch registrazione per un connettore Transfer Family, consulta [Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) nella *AWS Transfer Family User* Guide.

## [Transfer.4] Gli accordi Transfer Family devono essere etichettati
<a name="transfer-4"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Transfer::Agreement`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Transfer Family accordo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se l'accordo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'accordo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="transfer-4-remediation"></a>

Per informazioni sull'aggiunta di tag a un AWS Transfer Family accordo, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

## [Transfer.5] I certificati Transfer Family devono essere etichettati
<a name="transfer-5"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Transfer::Certificate`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Transfer Family certificato ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il certificato non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="transfer-5-remediation"></a>

Per informazioni sull'aggiunta di tag a un AWS Transfer Family certificato, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

## [Transfer.6] I connettori Transfer Family devono essere etichettati
<a name="transfer-6"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Transfer::Connector`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Transfer Family connettore ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il connettore non ha alcuna chiave tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il connettore non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.

Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="transfer-6-remediation"></a>

Per informazioni sull'aggiunta di tag a un AWS Transfer Family connettore, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

## [Transfer.7] I profili Transfer Family devono essere etichettati
<a name="transfer-7"></a>

**Categoria:** Identificazione > Inventario > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::Transfer::Profile`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito | 

Questo controllo verifica se un AWS Transfer Family profilo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il profilo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Il controllo valuta i profili locali e i profili dei partner.

Un tag è un'etichetta che crei e assegni a una AWS risorsa. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**Nota**  
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

### Correzione
<a name="transfer-7-remediation"></a>

Per informazioni sull'aggiunta di tag a un AWS Transfer Family profilo, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

# Controlli CSPM Security Hub per AWS WAF
<a name="waf-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il AWS WAF servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata
<a name="waf-1"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::WAF::WebACL`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la registrazione è abilitata per un ACL web AWS WAF globale. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web.

La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni a livello globale. AWS WAF È un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento delle applicazioni. Fornisce inoltre informazioni dettagliate sul traffico analizzato dall'ACL Web a cui è allegato. AWS WAF

### Correzione
<a name="waf-1-remediation"></a>

*Per abilitare la registrazione per un ACL AWS WAF Web, consulta la sezione [Registrazione delle informazioni sul traffico ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) nella Developer Guide.AWS WAF *

## [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
<a name="waf-2"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAFRegional::Rule`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una regola AWS WAF regionale ha almeno una condizione. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.

Una regola regionale WAF può contenere più condizioni. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola regionale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe indurre a supporre erroneamente che una di queste azioni si stia verificando.

### Correzione
<a name="waf-2-remediation"></a>

*Per aggiungere una condizione a una regola vuota, consulta [Aggiungere e rimuovere condizioni in una regola nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *

## [WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
<a name="waf-3"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAFRegional::RuleGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo di regole AWS WAF regionali ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.

Un gruppo di regole regionali WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole regionali WAF privo di regole, ma con un nome o un tag che suggerisce l'autorizzazione, il blocco o il numero, potrebbe indurre a supporre erroneamente che una di queste azioni sia in corso.

### Correzione
<a name="waf-3-remediation"></a>

*Per aggiungere regole e condizioni di regole a un gruppo di regole vuoto, consulta [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico e Aggiungere e rimuovere condizioni in una regola](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) [nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *

## [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole
<a name="waf-4"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAFRegional::WebACL`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un ACL AWS WAF Classic regionale Web contiene regole WAF o gruppi di regole WAF. Questo controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.

Un ACL web WAF regionale può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL web è vuoto, il traffico web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.

### Correzione
<a name="waf-4-remediation"></a>

*Per aggiungere regole o gruppi di regole a un ACL web regionale AWS WAF classico vuoto, consulta [Modifica di un ACL Web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF *

## [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
<a name="waf-6"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAF::Rule`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una regola AWS WAF globale contiene condizioni. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.

Una regola globale WAF può contenere più condizioni. Le condizioni di una regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola globale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.

### Correzione
<a name="waf-6-remediation"></a>

*Per istruzioni sulla creazione di una regola e sull'aggiunta di condizioni, consulta [Creazione di una regola e aggiunta di condizioni](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) nella Guida per gli sviluppatori.AWS WAF *

## [WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
<a name="waf-7"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAF::RuleGroup`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un gruppo di regole AWS WAF globale ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.

Un gruppo di regole globale WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole globale WAF senza regole, ma con un nome o un tag che suggerisce di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.

### Correzione
<a name="waf-7-remediation"></a>

*Per istruzioni sull'aggiunta di una regola a un gruppo di regole, consulta [Creating an AWS WAF Classic rule group](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) nella Developer Guide.AWS WAF *

## [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
<a name="waf-8"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAF::WebACL`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un ACL web AWS WAF globale contiene almeno una regola WAF o un gruppo di regole WAF. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.

Un ACL web globale WAF può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.

### Correzione
<a name="waf-8-remediation"></a>

*Per aggiungere regole o gruppi di regole a un ACL web AWS WAF globale vuoto, consulta [Modifica di un ACL web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF * Per **Filtro**, scegliete **Globale () CloudFront**.

## [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
<a name="waf-10"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità:** media

**Tipo di risorsa:** `AWS::WAFv2::WebACL`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL) contiene almeno una regola o un gruppo di regole. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole.

Un ACL Web offre un controllo dettagliato su tutte le richieste Web HTTP (S) a cui risponde la risorsa protetta. Un ACL Web deve contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste Web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato, AWS WAF a seconda dell'azione predefinita.

### Correzione
<a name="waf-10-remediation"></a>

*Per aggiungere regole o gruppi di regole a un ACL WAFV2 web vuoto, consulta [Modifica di un ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) nella Guida per gli AWS WAF sviluppatori.*

## [WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
<a name="waf-11"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificazione > Registrazione

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::WAFv2::WebACL`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la registrazione è attivata per un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL). Questo controllo ha esito negativo se la registrazione è disattivata per l'ACL Web.

**Nota**  
Questo controllo non verifica se la registrazione AWS WAF Web ACL è abilitata per un account tramite Amazon Security Lake.

La registrazione mantiene l'affidabilità, la disponibilità e le prestazioni di. AWS WAF Inoltre, la registrazione è un requisito aziendale e di conformità in molte organizzazioni. Registrando il traffico analizzato dall'ACL Web, è possibile risolvere i problemi relativi al comportamento delle applicazioni.

### Correzione
<a name="waf-11-remediation"></a>

*Per attivare la registrazione per un ACL AWS WAF Web, consulta [Managing logging for](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) a Web ACL nella Developer Guide.AWS WAF *

## Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
<a name="waf-12"></a>

**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Identificazione > Registrazione

**Gravità:** media

**Tipo di risorsa:** `AWS::WAFv2::RuleGroup`

**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se una AWS WAF regola o un gruppo di regole ha le CloudWatch metriche Amazon abilitate. Il controllo fallisce se la regola o il gruppo di regole non ha le CloudWatch metriche abilitate.

La configurazione delle CloudWatch metriche su AWS WAF regole e gruppi di regole offre visibilità sul flusso di traffico. Puoi vedere quali regole ACL vengono attivate e quali richieste vengono accettate e bloccate. Questa visibilità può aiutarti a identificare attività dannose sulle risorse associate.

### Correzione
<a name="waf-12-remediation"></a>

Per abilitare le CloudWatch metriche su un gruppo di AWS WAF regole, richiama l'[ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. [Per abilitare le CloudWatch metriche su una AWS WAF regola, richiama l'API ACL. UpdateWeb](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Imposta il campo su. `CloudWatchMetricsEnabled` `true` Quando utilizzi la AWS WAF console per creare regole o gruppi di regole, le CloudWatch metriche vengono abilitate automaticamente.

# Controlli CSPM Security Hub per WorkSpaces
<a name="workspaces-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il WorkSpaces servizio e le risorse Amazon.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
<a name="workspaces-1"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::WorkSpaces::Workspace`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un volume utente in Amazon WorkSpaces WorkSpace è crittografato quando è inattivo. Il controllo fallisce se il volume WorkSpace utente non è crittografato a riposo.

I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="workspaces-1-remediation"></a>

Per crittografare un volume WorkSpaces utente, [consulta Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) nella *Amazon WorkSpaces Administration Guide*.

## [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
<a name="workspaces-2"></a>

**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest

**Gravità:** media

**Tipo di risorsa:** `AWS::WorkSpaces::Workspace`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**Tipo di pianificazione:** modifica attivata

**Parametri:** nessuno

Questo controllo verifica se un volume root in Amazon WorkSpaces WorkSpace è crittografato a riposo. Il controllo fallisce se il volume WorkSpace root non è crittografato a riposo.

I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

### Correzione
<a name="workspaces-2-remediation"></a>

Per crittografare un volume WorkSpaces root, [consulta Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) nella *Amazon WorkSpaces Administration Guide*.

# Autorizzazioni richieste per configurare i controlli in Security Hub CSPM
<a name="iam-permissions-controls-standards"></a>

Per visualizzare informazioni sui controlli di sicurezza e abilitare e disabilitare i controlli di sicurezza negli standard, il ruolo AWS Identity and Access Management (IAM) utilizzato per accedere a AWS Security Hub CSPM richiede le autorizzazioni per chiamare le seguenti operazioni dell'API CSPM di Security Hub.

Per ottenere le autorizzazioni necessarie, puoi utilizzare le politiche gestite da [Security Hub CSPM.](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html) In alternativa, puoi aggiornare le policy IAM personalizzate per includere le autorizzazioni per queste azioni.
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Restituisce informazioni su una serie di controlli di sicurezza per l'account corrente e Regione AWS. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**— Restituisce informazioni sui controlli di sicurezza che si applicano a uno standard specifico. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**— Indica se un controllo di sicurezza è attualmente abilitato o disabilitato in ogni standard abilitato nell'account. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**— Per un batch di controlli di sicurezza, indica se ogni controllo è attualmente abilitato o disabilitato in base a uno standard specifico. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilizzato per abilitare un controllo di sicurezza negli standard che includono il controllo o per disabilitare un controllo negli standard. Si tratta di un sostituto in batch dell'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operazione esistente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilizzato per abilitare o disabilitare un batch di controlli di sicurezza negli standard che includono i controlli. Si tratta di un sostituto in batch dell'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operazione esistente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**— Utilizzato per abilitare o disabilitare un singolo controllo di sicurezza negli standard che includono il controllo 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**— Restituisce dettagli sui controlli di sicurezza specifici.

Oltre a quanto sopra APIs, è necessario aggiungere l'autorizzazione alla chiamata `BatchGetControlEvaluations` al proprio ruolo IAM. Questa autorizzazione è necessaria per visualizzare lo stato di attivazione e conformità di un controllo, i risultati contano per un controllo e il punteggio di sicurezza complessivo per i controlli sulla console CSPM di Security Hub. Poiché solo le chiamate alla console`BatchGetControlEvaluations`, questa autorizzazione non corrisponde direttamente al CSPM APIs o ai comandi di Security Hub documentati pubblicamente. AWS CLI 

# Abilitazione dei controlli in Security Hub CSPM
<a name="securityhub-standards-enable-disable-controls"></a>

In AWS Security Hub CSPM, un controllo è una protezione all'interno di uno standard di sicurezza che aiuta un'organizzazione a proteggere la riservatezza, l'integrità e la disponibilità delle proprie informazioni. Ogni controllo CSPM di Security Hub è correlato a una risorsa specifica AWS . Quando abiliti un controllo, Security Hub CSPM inizia a eseguire i controlli di sicurezza per il controllo e genera i relativi risultati. Security Hub CSPM considera anche tutti i controlli abilitati nel calcolo dei punteggi di sicurezza.

Puoi scegliere di abilitare un controllo su tutti gli standard di sicurezza a cui si applica. In alternativa, è possibile configurare lo stato di abilitazione in modo diverso a seconda degli standard. Consigliamo la prima opzione, in cui lo stato di attivazione di un controllo è allineato a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard che lo applica, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md) Per istruzioni su come abilitare un controllo in standard specifici, vedere[Abilitazione di un controllo in uno standard specifico](controls-configure.md).

Se abiliti l'aggregazione tra regioni e accedi a un'area di aggregazione, la console Security Hub CSPM mostra i controlli disponibili in almeno una regione collegata. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione.

È possibile abilitare e disabilitare i controlli in ogni regione utilizzando la console CSPM di Security Hub, l'API CSPM di Security Hub o. AWS CLI

[Le istruzioni per abilitare e disabilitare i controlli variano a seconda che si utilizzi o meno la configurazione centrale.](central-configuration-intro.md) Questo argomento descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub CSPM e. AWS Organizations Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione dei controlli in ambienti con più account e più regioni. Se utilizzi la configurazione centrale, puoi abilitare il controllo su più account e regioni tramite l'uso di politiche di configurazione. Se non utilizzi la configurazione centrale, devi abilitare un controllo separatamente in ogni regione e account.

# Abilitare un controllo attraverso gli standard
<a name="enable-controls-overview"></a>

Consigliamo di abilitare un controllo CSPM AWS Security Hub su tutti gli standard a cui si applica il controllo. Se attivi i risultati del controllo consolidato, riceverai un risultato per controllo anche se un controllo appartiene a più di uno standard.

## Abilitazione multistandard in ambienti con più account e più regioni
<a name="enable-controls-all-standards-central-configuration"></a>

[Per abilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario accedere all'account amministratore CSPM di Security Hub delegato e utilizzare la configurazione centrale.](central-configuration-intro.md)

Nella configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che abilitano controlli specifici attraverso gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Nota**  
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower 

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

## Abilitazione multistandard in un unico account e regione
<a name="enable-controls-all-standards"></a>

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.

------
#### [ Security Hub CSPM console ]

**Per abilitare un controllo su più standard in un account e in un'unica regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Controlli** dal pannello di navigazione.

1. Scegli la scheda **Disabilitato**.

1. Scegli l'opzione accanto a un controllo.

1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato).

1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

------
#### [ Security Hub CSPM API ]

**Per abilitare il controllo su più standard in un account e in un'unica regione**

1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.

1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Ripetere l'operazione in ogni regione in cui si desidera abilitare il controllo.

------
#### [ AWS CLI ]

**Per abilitare il controllo su più standard in un account e in un'unica regione**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.

1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

------

# Abilitazione di un controllo in uno standard specifico
<a name="controls-configure"></a>

Quando abiliti uno standard in AWS Security Hub CSPM, tutti i controlli ad esso applicabili vengono abilitati automaticamente in quello standard (ad eccezione degli standard gestiti dai servizi). È quindi possibile disabilitare e riattivare controlli specifici nello standard. Tuttavia, consigliamo di allineare lo stato di attivazione di un controllo a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md)

La pagina dei dettagli di uno standard contiene l'elenco dei controlli applicabili allo standard e informazioni sui controlli attualmente abilitati e disabilitati in quello standard.

Nella pagina dei dettagli degli standard, puoi anche abilitare i controlli in standard specifici. È necessario abilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si abilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.

Per abilitare un controllo in uno standard, è necessario innanzitutto abilitare almeno uno standard a cui si applica il controllo. Per istruzioni sull'attivazione di uno standard, vedere[Abilitazione di uno standard di sicurezza](enable-standards.md). Quando abiliti un controllo in uno o più standard, Security Hub CSPM inizia a generare risultati per quel controllo. Security Hub CSPM include lo [stato del controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Anche se abiliti un controllo in più standard, se attivi i risultati del controllo consolidato, riceverai un unico risultato per ogni controllo di sicurezza tra gli standard. Per ulteriori informazioni, consulta [Risultati dei controlli consolidati](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Per abilitare un controllo in uno standard, il controllo deve essere disponibile nella tua regione attuale. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Segui questi passaggi per abilitare un controllo CSPM Security Hub in uno standard *specifico*. Al posto dei seguenti passaggi, puoi anche utilizzare l'azione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API per abilitare i controlli in uno standard specifico. Per istruzioni sull'attivazione di un controllo in *tutti* gli standard, vedere[Abilitazione multistandard in un unico account e regione](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Per abilitare un controllo in uno standard specifico**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Standard di sicurezza** dal pannello di navigazione.

1. Scegli **Visualizza risultati** per lo standard pertinente.

1. Seleziona un controllo.

1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato). Conferma scegliendo **Abilita**.

------
#### [ Security Hub CSPM API ]

**Per abilitare un controllo in uno standard specifico**

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   **Richiesta di esempio:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Per abilitare un controllo in uno standard specifico**

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Abilitazione automatica di nuovi controlli negli standard abilitati
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM rilascia regolarmente nuovi controlli e li aggiunge a uno o più standard. Puoi scegliere se abilitare automaticamente i nuovi controlli negli standard abilitati.

Si consiglia di utilizzare la configurazione centrale CSPM di Security Hub per abilitare automaticamente nuovi controlli di sicurezza. È possibile creare policy di configurazione che includono un elenco di controlli da disabilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono abilitati per impostazione predefinita. In alternativa, è possibile creare policy che includono un elenco di controlli da abilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono disabilitati per impostazione predefinita. Per ulteriori informazioni, consulta [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Security Hub CSPM non abilita nuovi controlli quando vengono aggiunti a uno standard che non hai abilitato.

Le seguenti istruzioni si applicano solo se non si utilizza la configurazione centrale.

Scegli il metodo di accesso preferito e segui i passaggi per abilitare automaticamente i nuovi controlli negli standard abilitati.

**Nota**  
Quando abiliti automaticamente i nuovi controlli utilizzando le seguenti istruzioni, puoi interagire con i controlli nella console e in modo programmatico subito dopo il rilascio. **Tuttavia, lo stato predefinito temporaneo dei controlli abilitati automaticamente è Disabilitato.** Security Hub CSPM può impiegare fino a diversi giorni per elaborare la versione di controllo e designare il controllo come **Attivato** nel tuo account. Durante il periodo di elaborazione, è possibile abilitare o disabilitare manualmente un controllo e Security Hub CSPM manterrà tale designazione indipendentemente dal fatto che sia attivata l'abilitazione automatica del controllo.

------
#### [ Security Hub CSPM console ]

**Per abilitare automaticamente i nuovi controlli**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli la scheda **Generale**.

1. In **Controlli**, scegli **Modifica**.

1. Attiva l'**attivazione automatica dei nuovi controlli negli standard abilitati**.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

**Per abilitare automaticamente i nuovi controlli**

1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, imposta `AutoEnableControls` su`true`. Se non desideri abilitare automaticamente i nuovi controlli, imposta `AutoEnableControls` su false.

------
#### [ AWS CLI ]

**Per abilitare automaticamente i nuovi controlli**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, specificare`--auto-enable-controls`. Se non desideri abilitare automaticamente i nuovi controlli, specifica`--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Comando di esempio**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Se non abiliti automaticamente i nuovi controlli, devi abilitarli manualmente. Per istruzioni, consulta [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md).

# Disabilitazione dei controlli in Security Hub CSPM
<a name="disable-controls-overview"></a>

Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. In AWS Security Hub CSPM, puoi disabilitare un controllo su tutti gli standard di sicurezza o solo per standard specifici. 

Se si disabilita un controllo per tutti gli standard, si verifica quanto segue:
+ I controlli di sicurezza per il controllo non vengono più eseguiti.
+ Non vengono generati risultati aggiuntivi per il controllo.
+ I risultati esistenti non vengono più aggiornati per il controllo.
+ I risultati esistenti per il controllo vengono archiviati automaticamente, in genere entro 3-5 giorni con la massima diligenza possibile.
+ Security Hub CSPM rimuove tutte AWS Config le regole correlate che ha creato per il controllo.

Se disabiliti un controllo solo per standard specifici, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza per il controllo solo per quegli standard. Ciò rimuove anche il controllo dai [calcoli del punteggio di sicurezza](standards-security-score.md) per ciascuno di questi standard. Se il controllo è abilitato in altri standard, Security Hub CSPM mantiene la AWS Config regola associata, se applicabile, e continua a eseguire i controlli di sicurezza per il controllo per gli altri standard. Security Hub CSPM include anche il controllo quando calcola il punteggio di sicurezza per ciascuno degli altri standard, il che influisce sul punteggio di sicurezza riepilogativo.

Se si disabilita uno standard, tutti i controlli che si applicano allo standard vengono disattivati automaticamente per quello standard. Tuttavia, i controlli potrebbero continuare a essere abilitati in altri standard. Quando disabiliti uno standard, Security Hub CSPM non tiene traccia dei controlli disabilitati per lo standard. Di conseguenza, se successivamente riattivi lo stesso standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Per informazioni sulla disabilitazione di uno standard, vedere. [Disabilitazione di uno standard](disable-standards.md)

La disabilitazione di un controllo non è un'azione permanente. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard che include il controllo. Il controllo viene quindi abilitato per quello standard. Quando abiliti uno standard in Security Hub CSPM, tutti i controlli che si applicano allo standard vengono abilitati automaticamente. Per informazioni sull'attivazione di uno standard, vedere. [Abilitazione di uno standard](enable-standards.md)

**Topics**
+ [

# Disattivazione di un controllo tra gli standard
](disable-controls-across-standards.md)
+ [

# Disattivazione di un controllo in uno standard specifico
](disable-controls-standard.md)
+ [Controlli consigliati da disabilitare](controls-to-disable.md)

# Disattivazione di un controllo tra gli standard
<a name="disable-controls-across-standards"></a>

Ti consigliamo di disabilitare un controllo CSPM AWS di Security Hub tra gli standard per mantenere l'allineamento in tutta l'organizzazione. Se disabiliti un controllo solo in standard specifici, continuerai a ricevere i risultati relativi al controllo se è abilitato in altri standard.

## Disattivazione di più standard in più account e regioni
<a name="disable-controls-all-standards-central-configuration"></a>

[Per disabilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario utilizzare la configurazione centrale.](central-configuration-intro.md)

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che disabilitano i controlli specifici tra gli standard abilitati. È quindi possibile associare la politica di configurazione a account specifici o alla directory OUs principale. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di disabilitare tutti i AWS CloudTrail controlli in un'unità organizzativa e puoi scegliere di disabilitare tutti i controlli IAM in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che disabiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Nota**  
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower 

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

## Disattivazione di più standard in un unico account e regione
<a name="disable-controls-all-standards"></a>

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente i controlli in più account e regioni. Tuttavia, puoi disabilitare un controllo in un unico account e in una sola regione.

------
#### [ Security Hub CSPM console ]

**Per disabilitare un controllo tra più standard in un account e in una regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Controlli** dal pannello di navigazione.

1. Scegli l'opzione accanto a un controllo.

1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.

1. Seleziona un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.

1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.

------
#### [ Security Hub CSPM API ]

**Per disabilitare un controllo su più standard in un account e in una regione**

1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.

1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Ripetere l'operazione in ogni regione in cui si desidera disattivare il controllo.

------
#### [ AWS CLI ]

**Per disabilitare un controllo su più standard in un account e in una regione**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.

1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.

------

# Disattivazione di un controllo in uno standard specifico
<a name="disable-controls-standard"></a>

È possibile disabilitare un controllo solo in standard di sicurezza specifici, anziché in tutti gli standard. Se il controllo si applica ad altri standard abilitati, AWS Security Hub CSPM continua a eseguire i controlli di sicurezza per il controllo e tu continui a ricevere i risultati per il controllo.

Consigliamo di allineare lo stato di abilitazione di un controllo a tutti gli standard abilitati a cui si applica il controllo. Per informazioni sulla disabilitazione di un controllo per tutti gli standard a cui si applica, consulta. [Disattivazione di un controllo tra gli standard](disable-controls-across-standards.md)

Nella pagina dei dettagli degli standard, puoi anche disabilitare i controlli di standard specifici. È necessario disabilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si disabilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.

Scegli il tuo metodo preferito e segui questi passaggi per disabilitare un controllo in uno o più standard specifici.

------
#### [ Security Hub CSPM console ]

**Per disabilitare un controllo in uno standard specifico**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Standard di sicurezza** dal pannello di navigazione. Scegli **Visualizza risultati** per lo standard pertinente.

1. Seleziona un controllo.

1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.

1. Fornisci un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.

------
#### [ Security Hub CSPM API ]

**Per disabilitare un controllo in uno standard specifico**

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   **Richiesta di esempio:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Per disabilitare un controllo in uno standard specifico**

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Controlli consigliati da disabilitare in Security Hub CSPM
<a name="controls-to-disable"></a>

Ti consigliamo di disabilitare alcuni controlli CSPM AWS di Security Hub per ridurre il rumore di ricerca e i costi di utilizzo.

## Controlli che utilizzano risorse globali
<a name="controls-to-disable-global-resources"></a>

Alcuni Servizi AWS supportano risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sui costi di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub CSPM continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub CSPM, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.

Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:
+ **Tutti i CloudFront controlli**: disponibili solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **GlobalAccelerator.1** — Disponibile solo nella regione Stati Uniti occidentali (Oregon)
+ **Route53.2** — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **WAF.1, WAF.6, WAF.7, WAF.8 — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale**)

**Nota**  
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.  
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.  
Per ulteriori informazioni sulla configurazione centrale, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Per i controlli che hanno un tipo di pianificazione *periodica*, è necessario disabilitarli in Security Hub CSPM per impedire la fatturazione. L'impostazione del AWS Config parametro `includeGlobalResourceTypes` su `false` non influisce sui controlli periodici CSPM di Security Hub.

I seguenti controlli CSPM di Security Hub utilizzano risorse globali:
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
+ [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
+ [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
+ [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24)
+ [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25)
+ [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)
+ [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
+ [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
+ [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
+ [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
+ [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
+ [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
+ [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)

## CloudTrail controlli di registrazione
<a name="controls-to-disable-cloudtrail-logging"></a>

Il controllo [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) valuta l'uso di AWS Key Management Service (AWS KMS) per AWS CloudTrail crittografare i log delle tracce. Se si registrano questi percorsi in un account di registrazione centralizzato, è necessario abilitare questo controllo solo nell'account e Regione AWS dove avviene la registrazione centralizzata.

Se si utilizza la [configurazione centrale](central-configuration-intro.md), lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, puoi sopprimere i risultati del controllo CloudTrail .2 per ridurre il rumore di ricerca.

## CloudWatch controlli di allarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare i seguenti controlli, che si concentrano sugli CloudWatch allarmi:
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)

# Comprensione dei controlli e dei punteggi di sicurezza in Security Hub CSPM
<a name="securityhub-controls-finding-generation"></a>

Per ogni controllo abilitato, AWS Security Hub CSPM esegue controlli di sicurezza. Un controllo di sicurezza produce un risultato che indica se una AWS risorsa specifica è conforme alle regole incluse nel controllo.

Alcuni controlli vengono eseguiti secondo una pianificazione periodica. Altri controlli vengono eseguiti solo quando si modifica lo stato della risorsa. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Molti controlli di sicurezza utilizzano regole AWS Config gestite o personalizzate per stabilire i requisiti di conformità. Per eseguire questi controlli, è necessario configurare AWS Config e attivare la registrazione delle risorse per le risorse necessarie. Per ulteriori informazioni sulla configurazione AWS Config, vedere[Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md). Per un elenco delle AWS Config risorse che è necessario registrare per ogni standard, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md). Altri controlli utilizzano funzioni Lambda personalizzate, gestite da Security Hub CSPM e non richiedono alcun prerequisito.

Poiché Security Hub CSPM esegue i controlli di sicurezza, genera i risultati e assegna loro uno stato di conformità. Per ulteriori informazioni sullo stato di conformità, vedere. [Valutazione dello stato di conformità dei risultati del Security Hub CSPM](controls-overall-status.md#controls-overall-status-compliance-status)

Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. In base allo stato del controllo, Security Hub CSPM calcola anche un punteggio di sicurezza per tutti i controlli abilitati e per standard specifici. Per ulteriori informazioni, consultare [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md) e [Calcolo dei punteggi di sicurezza](standards-security-score.md).

Se hai attivato i risultati del controllo consolidato, Security Hub CSPM genera un singolo risultato anche quando un controllo è associato a più di uno standard. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [

# AWS Config Risorse necessarie per i risultati del controllo
](controls-config-resources.md)
+ [

# Pianificazione dell'esecuzione dei controlli di sicurezza
](securityhub-standards-schedule.md)
+ [

# Generazione e aggiornamento dei risultati di controllo
](controls-findings-create-update.md)
+ [

# Valutazione dello stato di conformità e dello stato di controllo
](controls-overall-status.md)
+ [

# Calcolo dei punteggi di sicurezza
](standards-security-score.md)

# AWS Config Risorse necessarie per i risultati del controllo
<a name="controls-config-resources"></a>

In AWS Security Hub CSPM, alcuni controlli utilizzano AWS Config regole collegate ai servizi che rilevano le modifiche alla configurazione nelle risorse. AWS Affinché Security Hub CSPM generi risultati accurati per questi controlli, è necessario abilitare AWS Config e attivare la registrazione delle risorse. AWS Config Per informazioni su come Security Hub CSPM utilizza AWS Config le regole e su come abilitarle e configurarle AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni dettagliate sulla registrazione delle risorse, consulta [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli AWS Config sviluppatori.*

Per ricevere risultati di controllo accurati, è necessario attivare la registrazione AWS Config delle risorse per i controlli abilitati con un tipo di pianificazione *innescato dalla modifica*. Alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Questa pagina elenca le risorse necessarie per questi controlli CSPM di Security Hub.

I controlli CSPM di Security Hub possono basarsi su AWS Config regole gestite o regole CSPM Security Hub personalizzate. Assicurati che non esistano policy AWS Identity and Access Management (IAM) o policy AWS Organizations gestite che AWS Config impediscano di avere l'autorizzazione a registrare le tue risorse. I controlli CSPM di Security Hub valutano direttamente le configurazioni delle risorse e non tengono conto delle AWS Organizations politiche.

**Nota**  
 Regioni AWS Se un controllo non è disponibile, la risorsa corrispondente non è disponibile in. AWS Config Per un elenco di questi limiti, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).

**Topics**
+ [

## Risorse necessarie per tutti i controlli CSPM di Security Hub
](#all-controls-config-resources)
+ [

## Risorse necessarie per lo standard AWS Foundational Security Best Practices
](#securityhub-standards-fsbp-config-resources)
+ [

## Risorse necessarie per il benchmark CIS AWS Foundations
](#securityhub-standards-cis-config-resources)
+ [

## Risorse necessarie per lo standard NIST SP 800-53 Revisione 5
](#nist-config-resources)
+ [

## Risorse necessarie per lo standard NIST SP 800-171 Revision 2
](#nist-800-171-config-resources)
+ [

## Risorse richieste per PCI DSS v3.2.1
](#securityhub-standards-pci-config-resources)
+ [

## Risorse richieste per lo standard AWS Resource Tagging
](#tagging-config-resources)

## Risorse necessarie per tutti i controlli CSPM di Security Hub
<a name="all-controls-config-resources"></a>

Affinché Security Hub CSPM generi risultati per i controlli attivati dalle modifiche che sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Questa tabella indica anche quali controlli valutano un particolare tipo di risorsa. Un singolo controllo può valutare più di un tipo di risorsa.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-config-resources.html)

## Risorse necessarie per lo standard AWS Foundational Security Best Practices
<a name="securityhub-standards-fsbp-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard AWS Foundational Security Best Practices (v.1.0.0), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di best practice di sicurezza di base in Security Hub CSPM](fsbp-standard.md)


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Gateway Amazon API  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servizio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Serverless  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  Gestione dei segreti AWS  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## Risorse necessarie per il benchmark CIS AWS Foundations
<a name="securityhub-standards-cis-config-resources"></a>

Per eseguire controlli di sicurezza per i controlli abilitati che si applicano al benchmark Center for Internet Security (CIS) AWS Foundations, Security Hub CSPM esegue esattamente le fasi di controllo prescritte per i controlli o utilizza regole gestite specifiche. AWS Config Per informazioni su questo standard in Security Hub CSPM, vedere. [Benchmark CIS AWS Foundations nel Security Hub CSPM](cis-aws-foundations-benchmark.md)

### Risorse necessarie per CIS v5.0.0
<a name="cis-5.0-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v5.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Risorse necessarie per CIS v3.0.0
<a name="cis-3.0-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v3.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Risorse necessarie per CIS v1.4.0
<a name="cis-1.4-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.4.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Risorse necessarie per CIS v1.2.0
<a name="cis-1.2-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.2.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## Risorse necessarie per lo standard NIST SP 800-53 Revisione 5
<a name="nist-config-resources"></a>

Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-53 Revisione 5, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-53 Revisione 5 nel Security Hub CSPM](standards-reference-nist-800-53.md)


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Gateway Amazon API  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servizio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  Gestione dei segreti AWS  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Risorse necessarie per lo standard NIST SP 800-171 Revision 2
<a name="nist-800-171-config-resources"></a>

Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-171 Revisione 2, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-171 Revisione 2 nel Security Hub CSPM](standards-reference-nist-800-171.md)


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Gateway Amazon API | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Servizio Amazon Simple Storage (Amazon S3) | `AWS::S3::Bucket` | 
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Risorse richieste per PCI DSS v3.2.1
<a name="securityhub-standards-pci-config-resources"></a>

Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli che si applicano alla versione 3.2.1 del Payment Card Industry Data Security Standard (PCI DSS), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [PCI DSS nel Security Hub CSPM](pci-standard.md)


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|   OpenSearch Servizio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## Risorse richieste per lo standard AWS Resource Tagging
<a name="tagging-config-resources"></a>

Tutti i controlli che si applicano allo standard AWS Resource Tagging attivano una modifica e utilizzano una regola. AWS Config Affinché Security Hub CSPM riporti con precisione i risultati di questi controlli, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di etichettatura delle risorse in Security Hub CSPM](standards-tagging.md)


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (Analizzatore di accesso IAM)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT Eventi  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT Wireless  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (per Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
|  OpenSearch Servizio Amazon |  `AWS::OpenSearch::Domain`  | 
| AWS Autorità di certificazione privata |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| Gestione dei segreti AWS  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# Pianificazione dell'esecuzione dei controlli di sicurezza
<a name="securityhub-standards-schedule"></a>

Dopo aver abilitato uno standard di sicurezza, AWS Security Hub CSPM inizia a eseguire tutti i controlli entro due ore. La maggior parte dei controlli inizia entro 25 minuti. Security Hub CSPM esegue i controlli valutando la regola alla base di un controllo. **Fino a quando un controllo non completa la prima esecuzione dei controlli, lo stato è Nessun dato.**

Quando abiliti un nuovo standard, potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola sottostante AWS Config collegata ai servizi dei controlli abilitati di altri standard abilitati. Ad esempio, se abiliti il controllo [Lambda.1](lambda-controls.md#lambda-1) nello standard AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crea la regola collegata al servizio e in genere genera i risultati in pochi minuti. Dopodiché, se abiliti il controllo Lambda.1 nel Payment Card Industry Data Security Standard (PCI DSS), potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi i risultati per il controllo perché utilizza la stessa regola collegata al servizio.

Dopo il controllo iniziale, la pianificazione per ogni controllo può essere periodica o può essere attivata a modifiche. Per un controllo basato su una AWS Config regola gestita, la descrizione del controllo include un collegamento alla descrizione della regola nella Guida per gli *AWS Config sviluppatori*. Tale descrizione specifica se la regola è soggetta a modifiche o è periodica. 

## Controlli di sicurezza periodici
<a name="periodic-checks"></a>

I controlli di sicurezza periodici vengono eseguiti automaticamente entro 12 o 24 ore dall'esecuzione più recente. Security Hub CSPM determina la periodicità e non è possibile modificarla. I controlli periodici riflettono una valutazione nel momento in cui viene eseguito il controllo.

Se si aggiorna lo stato del flusso di lavoro di un risultato di controllo periodico e quindi nel controllo successivo lo stato di conformità del risultato rimane lo stesso, lo stato del flusso di lavoro rimane modificato. Ad esempio, se non riesci a trovare il controllo [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotazione deve essere abilitata*) e quindi correggi il risultato, Security Hub CSPM modifica lo stato del flusso di lavoro da a. `NEW` `RESOLVED` Se si disabilita la rotazione delle chiavi KMS prima del successivo controllo periodico, lo stato del flusso di lavoro del risultato rimane invariato. `RESOLVED`

I controlli che utilizzano le funzioni Lambda personalizzate di Security Hub CSPM sono periodici.

## Controlli di sicurezza attivati dalle modifiche
<a name="change-triggered-checks"></a>

I controlli di sicurezza attivati dalle modifiche vengono eseguiti quando la risorsa associata cambia stato. AWS Config *consente di scegliere tra *la registrazione continua* delle modifiche allo stato delle risorse e la registrazione giornaliera.* Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati CSPM di Security Hub fino al completamento di un periodo di 24 ore. Indipendentemente dal periodo di registrazione scelto, Security Hub CSPM effettua controlli ogni 18 ore per assicurarsi che non siano AWS Config stati persi gli aggiornamenti delle risorse.

In generale, Security Hub CSPM utilizza regole attivate dalle modifiche quando possibile. Affinché una risorsa utilizzi una regola attivata da una modifica, deve supportare gli elementi di configurazione. AWS Config 

# Generazione e aggiornamento dei risultati di controllo
<a name="controls-findings-create-update"></a>

AWS Security Hub CSPM genera e aggiorna i risultati dei controlli quando esegue controlli di sicurezza. I risultati del controllo utilizzano il [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

Security Hub CSPM normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub CSPM addebita solo una volta per ogni controllo rispetto alla regola. Ad esempio, la AWS Config `iam-password-policy` regola viene utilizzata da più controlli nello standard CIS AWS Foundations Benchmark e nello standard AWS Foundational Security Best Practices. Ogni volta che Security Hub CSPM esegue un controllo rispetto a tale regola, genera un risultato di controllo separato per ogni controllo correlato, ma addebita una sola volta per il controllo.

Se la dimensione di un risultato di controllo supera il massimo di 240 KB, Security Hub CSPM rimuove l'`Resource.Details`oggetto dal risultato. Per i controlli supportati da AWS Config risorse, è possibile rivedere i dettagli delle risorse utilizzando la console. AWS Config 

**Topics**
+ [

## Risultati di controllo consolidati
](#consolidated-control-findings)
+ [

## Generazione, aggiornamento e archiviazione dei risultati di controllo
](#securityhub-standards-results-updating)
+ [

## Automazione e soppressione dei risultati del controllo
](#automation-control-findings)
+ [

## Dettagli sulla conformità per i risultati del controllo
](#control-findings-asff-compliance)
+ [

## ProductFields dettagli relativi ai risultati del controllo
](#control-findings-asff-productfields)
+ [

## Livelli di gravità per i risultati del controllo
](#control-findings-severity)

## Risultati di controllo consolidati
<a name="consolidated-control-findings"></a>

Se i risultati del controllo consolidato sono abilitati per il tuo account, Security Hub CSPM genera un singolo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per un elenco dei controlli e degli standard a cui si applicano, consulta la. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.

Se hai abilitato Security Hub CSPM Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se abiliti Security Hub CSPM a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente per il tuo account.

Se utilizzi l'[integrazione CSPM di Security Hub con AWS Organizations](securityhub-accounts-orgs.md) o account membro invitati tramite una [procedura di invito manuale](account-management-manual.md), i risultati del controllo consolidato sono abilitati per gli account membro solo se sono abilitati per l'account amministratore. Se la funzionalità è disabilitata per l'account amministratore, è disabilitata per gli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti. Inoltre, se l'amministratore utilizza la [configurazione centrale](central-configuration-intro.md) per gestire Security Hub CSPM per più account, non può utilizzare policy di configurazione centrale per abilitare o disabilitare i risultati del controllo consolidato per gli account.

Se disabiliti i risultati del controllo consolidato per il tuo account, Security Hub CSPM genera o aggiorna un risultato di controllo separato per ogni standard abilitato che include un controllo. Ad esempio, se abiliti quattro standard che condividono un controllo, ricevi quattro risultati separati dopo un controllo di sicurezza per il controllo. Se abiliti i risultati del controllo consolidato, riceverai solo un risultato.

Quando abiliti i risultati del controllo consolidato, Security Hub CSPM crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di controllo relativi alla ricerca cambieranno, il che potrebbe influire sui flussi di lavoro esistenti. Per informazioni su queste modifiche, consulta[Risultati di controllo consolidati: modifiche ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). L'abilitazione dei risultati del controllo consolidato potrebbe influire anche sui risultati che i prodotti integrati di terze parti ricevono da Security Hub CSPM. Se utilizzi la soluzione [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tieni presente che supporta i risultati del controllo consolidato. 

Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

**Nota**  
Dopo aver abilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati consolidati e archivi i risultati esistenti basati sugli standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati basati su standard e archivi i risultati consolidati esistenti. In questi periodi, potresti visualizzare nel tuo account un mix di risultati indipendenti dagli standard e basati sugli standard.

------
#### [ Security Hub CSPM console ]

**Per abilitare o disabilitare i risultati del controllo consolidato**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, in **Settings (Impostazioni)**, scegliere **General (Generali)**.

1. **Nella sezione **Controlli**, scegli Modifica.**

1. Utilizzate l'interruttore **Consolidated control results (Risultati** di controllo consolidati) per abilitare o disabilitare i risultati del controllo consolidato.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

Per abilitare o disabilitare i risultati del controllo consolidato a livello di codice, utilizzate il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)funzionamento dell'API CSPM Security Hub. Oppure, se utilizzi il, esegui il AWS CLI comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 

Per il `control-finding-generator` parametro, specificate `SECURITY_CONTROL` se abilitare i risultati del controllo consolidato. Per disabilitare i risultati del controllo consolidato, specificare. `STANDARD_CONTROL`

Ad esempio, il AWS CLI comando seguente abilita i risultati di controllo consolidati.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

Il AWS CLI comando seguente disabilita i risultati del controllo consolidato.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## Generazione, aggiornamento e archiviazione dei risultati di controllo
<a name="securityhub-standards-results-updating"></a>

[Security Hub CSPM esegue i controlli di sicurezza in base a una pianificazione.](securityhub-standards-schedule.md) La prima volta che Security Hub CSPM esegue un controllo di sicurezza, genera un nuovo risultato per ogni AWS risorsa controllata dal controllo. Ogni volta che Security Hub CSPM esegue successivamente un controllo di sicurezza per il controllo, aggiorna i risultati esistenti per riportare i risultati del controllo. Ciò significa che è possibile utilizzare i dati forniti dai singoli risultati per tenere traccia delle modifiche di conformità per particolari risorse rispetto a controlli particolari.

Ad esempio, se lo stato di conformità di una risorsa cambia da `FAILED` a `PASSED` per un particolare controllo, Security Hub CSPM non genera nuovi risultati. Invece, Security Hub CSPM aggiorna i risultati esistenti per il controllo e la risorsa. Nel risultato, Security Hub CSPM modifica il valore del campo compliance status (`Compliance.Status`) in. `PASSED` Security Hub CSPM aggiorna anche i valori dei campi aggiuntivi per riflettere i risultati del controllo, ad esempio l'etichetta di gravità, lo stato del flusso di lavoro e i timestamp che indicano quando Security Hub CSPM ha eseguito il controllo più di recente e aggiornato il risultato.

Quando riporta le modifiche allo stato di conformità, Security Hub CSPM potrebbe aggiornare uno dei seguenti campi in un risultato di controllo:
+ `Compliance.Status`— Il nuovo stato di conformità della risorsa per il controllo specificato.
+ `FindingProviderFields.Severity.Label`— La nuova rappresentazione qualitativa della gravità del risultato, ad esempio `LOW``MEDIUM`, o`HIGH`.
+ `FindingProviderFields.Severity.Original`— La nuova rappresentazione quantitativa della gravità del risultato, ad esempio `0` per una risorsa conforme.
+ `FirstObservedAt`— Data dell'ultima modifica dello stato di conformità della risorsa.
+ `LastObservedAt`— L'ultima volta che Security Hub CSPM ha eseguito il controllo di sicurezza per il controllo e la risorsa specificati.
+ `ProcessedAt`— Quando Security Hub CSPM ha recentemente iniziato a elaborare la scoperta.
+ `ProductFields.PreviousComplianceStatus`— Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato.
+ `UpdatedAt`— Quando Security Hub CSPM ha aggiornato l'ultima volta la scoperta.
+ `Workflow.Status`— Lo stato dell'indagine sul risultato, in base al nuovo stato di conformità della risorsa per il controllo specificato.

L'aggiornamento di un campo da parte di Security Hub CSPM dipende principalmente dai risultati dell'ultimo controllo di sicurezza per il controllo e la risorsa applicabili. Ad esempio, se lo stato di conformità di una risorsa cambia da `PASSED` a `FAILED` per un particolare controllo, Security Hub CSPM modifica lo stato del flusso di lavoro del risultato in. `NEW` Per tenere traccia degli aggiornamenti dei singoli risultati, puoi fare riferimento alla cronologia di un risultato. Per dettagli sui singoli campi dei risultati, consulta [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

In alcuni casi, Security Hub CSPM genera nuovi risultati per i controlli successivi tramite un controllo, invece di aggiornare i risultati esistenti. Questo può verificarsi se c'è un problema con la AWS Config regola che supporta un controllo. In tal caso, Security Hub CSPM archivia i risultati esistenti e genera un nuovo risultato per ogni controllo. Nelle nuove scoperte, lo stato di conformità è `NOT_AVAILABLE` e lo stato del record è. `ARCHIVED` Dopo aver risolto il problema con la AWS Config regola, Security Hub CSPM genera nuovi risultati e inizia ad aggiornarli per tenere traccia delle successive modifiche allo stato di conformità delle singole risorse.

Oltre a generare e aggiornare i risultati di controllo, Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Security Hub CSPM archivia un risultato se il controllo è disabilitato, la risorsa specificata viene eliminata o la risorsa specificata non esiste più. Una risorsa potrebbe non esistere più perché il servizio associato non viene più utilizzato. Più specificamente, Security Hub CSPM archivia automaticamente un risultato di controllo se il risultato soddisfa uno dei seguenti criteri:
+ Il risultato non viene aggiornato da 3-5 giorni. Tieni presente che l'archiviazione basata su questo periodo di tempo viene effettuata con la massima diligenza possibile e non è garantita.
+ La AWS Config valutazione associata restituita `NOT_APPLICABLE` per lo stato di conformità della risorsa specificata.

Per determinare se un risultato è archiviato, è possibile fare riferimento al campo record state (`RecordState`) del risultato. Se un risultato è archiviato, il valore di questo campo è. `ARCHIVED`

Security Hub CSPM archivia i risultati di controllo archiviati per 30 giorni. Dopo 30 giorni, i risultati scadono e Security Hub CSPM li elimina definitivamente. Per determinare se un risultato di controllo archiviato è scaduto, Security Hub CSPM basa il calcolo sul valore del `UpdatedAt` campo del risultato.

Per archiviare i risultati di controllo archiviati per più di 30 giorni, puoi esportare i risultati in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

**Nota**  
Prima del 3 luglio 2025, Security Hub CSPM generava e aggiornava i risultati del controllo in modo diverso quando lo stato di conformità di una risorsa cambiava rispetto a un controllo. In precedenza, Security Hub CSPM creava un nuovo risultato di controllo e archiviava il risultato esistente per una risorsa. Pertanto, potreste avere più risultati archiviati per un particolare controllo e risorsa fino alla scadenza di tali risultati (dopo 30 giorni).

## Automazione e soppressione dei risultati del controllo
<a name="automation-control-findings"></a>

È possibile utilizzare le regole di automazione CSPM di Security Hub per aggiornare o eliminare risultati di controllo specifici. Se si elimina un risultato, è possibile continuare ad accedervi. Tuttavia, la soppressione indica che ritenete che non sia necessaria alcuna azione per risolvere il problema.

Sopprimendo i risultati, è possibile ridurre il rumore di ricerca. Ad esempio, è possibile sopprimere i risultati dei controlli generati negli account di test. In alternativa, è possibile sopprimere i risultati relativi a risorse specifiche. Per ulteriori informazioni sull'aggiornamento o la soppressione automatica dei risultati, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md) 

Le regole di automazione sono appropriate quando si desidera aggiornare o eliminare risultati di controllo specifici. Tuttavia, se un controllo non è pertinente alla tua organizzazione o al tuo caso d'uso, ti consigliamo di [disabilitarlo](disable-controls-overview.md). Se disabiliti un controllo, Security Hub CSPM non esegue controlli di sicurezza per esso e non ti viene addebitato alcun costo.

## Dettagli sulla conformità per i risultati del controllo
<a name="control-findings-asff-compliance"></a>

Nei risultati generati dai controlli di sicurezza, l'oggetto [Compliance](asff-top-level-attributes.md#asff-compliance) e i campi del AWS Security Finding Format (ASFF) forniscono dettagli sulla conformità per le singole risorse controllate da un controllo. Ciò include le seguenti informazioni:
+ `AssociatedStandards`— Gli standard abilitati in cui è abilitato il controllo.
+ `RelatedRequirements`— I relativi requisiti per il controllo in tutti gli standard abilitati. Questi requisiti derivano da framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCI DSS) o lo standard NIST SP 800-171 Revision 2.
+ `SecurityControlId`— L'identificatore per il controllo attraverso gli standard supportati da Security Hub CSPM.
+ `Status`— Il risultato del controllo più recente eseguito da Security Hub CSPM per il controllo. I risultati dei controlli precedenti vengono conservati nella cronologia del risultato.
+ `StatusReasons`— Un array che elenca i motivi del valore specificato dal `Status` campo. Per ogni motivo, sono inclusi un codice motivo e una descrizione.

La tabella seguente elenca i codici dei motivi e le descrizioni che un risultato potrebbe includere nell'`StatusReasons`array. Le fasi di correzione variano in base al controllo che ha generato un risultato con un codice motivo specificato. Per rivedere le linee guida per la riparazione di un controllo, fare riferimento a. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md)


| Codice di motivo | Compliance status (Stato di conformità) | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido.  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail   | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta.  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  I CloudTrail percorsi multiregione non si trovano nella regione attuale.  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  Non sono presenti operazioni di allarme valide.  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch gli allarmi non esistono nell'account.  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config lo stato è `ConfigError`  |  AWS Config accesso negato. Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti.  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config ha valutato le tue risorse in base alla regola. La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati.  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED`(per Config.1)  |  Il AWS Config registratore utilizza un ruolo IAM personalizzato anziché il ruolo AWS Config collegato al servizio e il parametro `includeConfigServiceLinkedRoleCheck` personalizzato per Config.1 non è impostato su. `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED`(per Config.1)  |  AWS Config non è abilitato con il registratore di configurazione acceso.  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED`(per Config.1)  |  AWS Config non registra tutti i tipi di risorse che corrispondono ai controlli CSPM di Security Hub abilitati. Attiva la registrazione per le seguenti risorse:. *Resources that aren't being recorded*  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  Lo stato di conformità è `NOT_AVAILABLE` dovuto al fatto che è stato AWS Config restituito lo stato **Non applicabile**. AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato **Non applicabile**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config lo stato è `ConfigError`  |  Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione. La descrizione fornisce le informazioni sul motivo specifico. Il tipo di errore può essere uno dei seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config lo stato è `ConfigError`  |  La AWS Config regola è in fase di creazione.  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  Si è verificato un errore sconosciuto.  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato.  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Il risultato è in uno `WARNING` stato perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  Il risultato è in uno stato. `WARNING` L'argomento SNS associato a questa regola è di proprietà di un account diverso. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento. L'account proprietario dell'argomento SNS deve concedere all'account corrente l'`sns:ListSubscriptionsByTopic`autorizzazione per l'argomento SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Il risultato è in uno `WARNING` stato in cui l'argomento SNS associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  L'argomento SNS associato a questa regola non è valido.  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  L'operazione API pertinente ha superato il limite consentito.  | 

## ProductFields dettagli relativi ai risultati del controllo
<a name="control-findings-asff-productfields"></a>

Nei risultati generati dai controlli di sicurezza per i controlli, l'[ProductFields](asff-top-level-attributes.md#asff-productfields)attributo del AWS Security Finding Format (ASFF) può includere i seguenti campi.

`ArchivalReasons:0/Description`  
Descrive perché Security Hub CSPM ha archiviato un risultato.  
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).

`ArchivalReasons:0/ReasonCode`  
Specifica il motivo per cui Security Hub CSPM ha archiviato un risultato.  
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).

`PreviousComplianceStatus`  
Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato, a partire dall'aggiornamento più recente del risultato. Se lo stato di conformità della risorsa non è cambiato durante l'aggiornamento più recente, questo valore è uguale al valore del `Compliance.Status` campo del risultato. Per un elenco di possibili valori, consulta [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).

`StandardsGuideArn` o `StandardsArn`  
L'ARN dello standard associato al controllo.  
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsArn`  
Questi campi vengono rimossi a favore di `Compliance.AssociatedStandards` se si abilitano i risultati di controllo [consolidati](#consolidated-control-findings).

`StandardsGuideSubscriptionArn` o `StandardsSubscriptionArn`  
L'ARN dell'abbonamento dell'account allo standard.  
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideSubscriptionArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsSubscriptionArn`  
Questi campi vengono rimossi se si abilitano i risultati del controllo [consolidato](#consolidated-control-findings).

`RuleId` o `ControlId`  
L'identificatore del controllo.  
Per la versione 1.2.0 dello standard CIS AWS Foundations Benchmark, il campo è. `RuleId` Per altri standard, incluse le versioni successive dello standard CIS AWS Foundations Benchmark, il campo è. `ControlId`  
Questi campi vengono rimossi a favore di `Compliance.SecurityControlId` se si abilitano i risultati di controllo [consolidati.](#consolidated-control-findings)

`RecommendationUrl`  
L'URL per le informazioni sulla correzione del controllo. Questo campo viene rimosso a favore di `Remediation.Recommendation.Url` se si abilitano i risultati del [controllo consolidato](#consolidated-control-findings).

`RelatedAWSResources:0/name`  
Il nome della risorsa associata al risultato.

`RelatedAWSResource:0/type`  
Il tipo di risorsa associata al controllo.

`StandardsControlArn`  
L'ARN del controllo. Questo campo viene rimosso se si abilitano i [risultati del controllo consolidato](#consolidated-control-findings).

`aws/securityhub/ProductName`  
Per i risultati del controllo, il nome del prodotto è`Security Hub`.

`aws/securityhub/CompanyName`  
Per i risultati del controllo, il nome dell'azienda è`AWS`.

`aws/securityhub/annotation`  
Una descrizione del problema rilevato dal controllo.

`aws/securityhub/FindingId`  
L'identificatore del risultato.  
Questo campo non fa riferimento a uno standard se si abilitano i risultati di [controllo consolidati](#consolidated-control-findings).

## Livelli di gravità per i risultati del controllo
<a name="control-findings-severity"></a>

La severità assegnata a un controllo CSPM di Security Hub indica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.

### Criteri di gravità
<a name="securityhub-standards-results-severity-criteria"></a>

La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:
+ **Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?** La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.
+ **Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS risorse?** Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo. La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione delle tue o delle tue Servizi AWS risorse.

Ad esempio, consideriamo i seguenti punti deboli della configurazione:
+ Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.
+ La chiave utente root IAM esiste.

Entrambi i punti deboli sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.

Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.

La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il `Criticality` campo del AWS Security Finding Format (ASFF).

La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **Un compromesso è altamente probabile**  |  **Compromesso probabile**  |  **Compromesso improbabile**  |  **Compromesso altamente improbabile**  | 
|  **Molto facile da sfruttare**  |  Critica  |  Critica  |  Elevata  |  Media  | 
|  **Un po' facile da sfruttare**  |  Critica  |  Elevata  |  Media  |  Media  | 
|  **Un po' difficile da sfruttare**  |  Elevata  |  Media  |  Media  |  Bassa  | 
|  **Molto difficile da sfruttare**  |  Media  |  Media  |  Bassa  |  Bassa  | 

### Definizioni di gravità
<a name="securityhub-standards-results-severity-definitions"></a>

Le etichette di gravità sono definite come segue.

**Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.**  
Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.  
In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.

**Alto: il problema deve essere affrontato come priorità a breve termine.**  
Ad esempio, se un gruppo di sicurezza VPC predefinito è aperto al traffico in entrata e in uscita, viene considerato ad alta severità. È piuttosto facile per un autore di minacce compromettere un VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta inserite nel VPC.  
Security Hub CSPM consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.

**Medio: la questione dovrebbe essere affrontata come priorità a medio termine.**  
Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.  
Security Hub CSPM consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.

**Basso: il problema non richiede di per sé un'azione.**  
Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.  
Non è necessario agire immediatamente sugli esiti di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.

**Informativo: non è stato rilevato alcun punto debole nella configurazione.**  
In altre parole, lo stato è `PASSED``WARNING`, o`NOT AVAILABLE`.  
Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.

# Valutazione dello stato di conformità e dello stato di controllo
<a name="controls-overall-status"></a>

Il `Compliance.Status` campo del AWS Security Finding Format descrive il risultato di un risultato di controllo. AWS Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. Lo stato del controllo viene visualizzato nella pagina dei dettagli di un controllo sulla console Security Hub CSPM.

## Valutazione dello stato di conformità dei risultati del Security Hub CSPM
<a name="controls-overall-status-compliance-status"></a>

Allo stato di conformità per ogni risultato viene assegnato uno dei seguenti valori:
+ `PASSED`— Indica che il controllo ha superato il controllo di sicurezza relativo al risultato. Questo imposta automaticamente il Security Hub CSPM `Workflow.Status` su. `RESOLVED`
+ `FAILED`— Indica che il controllo non ha superato il controllo di sicurezza relativo al risultato.
+ `WARNING`— Indica che Security Hub CSPM non è in grado di determinare se la risorsa si trova in uno stato `PASSED` o`FAILED`. Ad esempio, [la registrazione AWS Config delle risorse](securityhub-setup-prereqs.md#config-resource-recording) non è attivata per il tipo di risorsa corrispondente.
+ `NOT_AVAILABLE`— Indica che il controllo non può essere completato perché un server ha avuto un errore, la risorsa è stata eliminata o il risultato della AWS Config valutazione sì`NOT_APPLICABLE`. Se il risultato della AWS Config valutazione è stato`NOT_APPLICABLE`, Security Hub CSPM archivia automaticamente il risultato.

Se lo stato di conformità di un risultato cambia `PASSED` da`FAILED`, o`WARNING`, ed `Workflow.Status` era uno o`NOT_AVAILABLE`, o, `NOTIFIED` o`RESOLVED`, Security Hub CSPM cambia `Workflow.Status` automaticamente in. `NEW`

Se non disponi di risorse corrispondenti a un controllo, Security Hub CSPM produce un `PASSED` risultato a livello di account. Se hai una risorsa corrispondente a un controllo ma poi la elimini, Security Hub CSPM crea un `NOT_AVAILABLE` risultato e lo archivia immediatamente. Dopo 18 ore, ricevi un `PASSED` risultato perché non hai più risorse corrispondenti al controllo.

## Determinare lo stato di controllo dallo stato di conformità
<a name="controls-overall-status-values"></a>

Security Hub CSPM ricava uno stato di controllo generale dallo stato di conformità dei risultati del controllo. Nel determinare lo stato del controllo, Security Hub CSPM ignora i risultati con un `RecordState` di `ARCHIVED` e i risultati con un di. `Workflow.Status` `SUPPRESSED`

Allo stato del controllo viene assegnato uno dei seguenti valori:
+ **Passato**: indica che tutti i risultati hanno uno stato di conformità pari a`PASSED`.
+ **Non riuscito**: indica che almeno un risultato ha uno stato di conformità pari a`FAILED`.
+ **Sconosciuto**: indica che almeno un risultato ha uno stato di conformità pari a `WARNING` o`NOT_AVAILABLE`. Nessun risultato ha uno stato di conformità pari a`FAILED`.
+ **Nessun dato**: indica che non ci sono risultati per il controllo. Ad esempio, un controllo appena abilitato ha questo stato fino a quando Security Hub CSPM non inizia a generare i relativi risultati. Un controllo ha questo stato anche se tutti i risultati sono `SUPPRESSED` o non sono disponibili nella versione corrente. Regione AWS
+ **Disabilitato**: indica che il controllo è disabilitato nell'account e nella regione correnti. Al momento non vengono eseguiti controlli di sicurezza per questo controllo nell'account e nella regione correnti. Tuttavia, i risultati di un controllo disattivato possono avere un valore per lo stato di conformità fino a 24 ore dopo la disabilitazione.

Per un account amministratore, lo stato di controllo riflette lo stato di controllo dell'account amministratore e degli account membro. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nell'account amministratore o in uno degli account dei membri. Se è stata impostata una regione di aggregazione, lo stato di controllo nella regione di aggregazione riflette lo stato di controllo nella regione di aggregazione e nelle regioni collegate. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nella regione di aggregazione o in una delle regioni collegate.

Security Hub CSPM genera in genere lo stato di controllo iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. È necessario che la [registrazione AWS Config delle risorse](controls-config-resources.md) sia configurata per visualizzare lo stato del controllo. Dopo la prima generazione degli stati di controllo, Security Hub CSPM aggiorna gli stati di controllo ogni 24 ore in base ai risultati delle 24 ore precedenti. Un timestamp nella pagina dei dettagli del controllo indica quando lo stato del controllo è stato aggiornato l'ultima volta.

**Nota**  
Dopo aver abilitato un controllo per la prima volta, possono essere necessarie fino a 24 ore per generare gli stati di controllo nelle regioni della Cina e nel AWS GovCloud (US) Region.

# Calcolo dei punteggi di sicurezza
<a name="standards-security-score"></a>

Nella console AWS Security Hub CSPM, la pagina **Riepilogo** e la pagina **Controlli** mostrano un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Nella pagina **degli standard di sicurezza**, Security Hub CSPM mostra anche un punteggio di sicurezza compreso tra 0 e 100 percento per ogni standard abilitato.

Quando abiliti Security Hub CSPM per la prima volta, Security Hub CSPM calcola il punteggio di sicurezza riepilogativo e i punteggi di sicurezza standard entro 30 minuti dalla prima visita alla pagina **Riepilogo** o **Standard di sicurezza sulla console**. I punteggi vengono generati solo per gli standard abilitati quando si visitano quelle pagine sulla console. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Il punteggio di sicurezza riassuntivo è la media dei punteggi di sicurezza standard. Per esaminare un elenco di standard attualmente abilitati, puoi utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub. 

Dopo la prima generazione di punteggi, Security Hub CSPM aggiorna i punteggi di sicurezza ogni 24 ore. Security Hub CSPM visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta. Tieni presente che possono essere necessarie fino a 24 ore prima che i punteggi di sicurezza vengano generati per la prima volta nelle regioni della Cina e AWS GovCloud (US) Regions.

Se attivi i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings), l'aggiornamento dei punteggi di sicurezza può richiedere fino a 24 ore. Inoltre, l'abilitazione di una nuova regione di aggregazione o l'aggiornamento delle aree collegate ripristina i punteggi di sicurezza esistenti. Security Hub CSPM può impiegare fino a 24 ore per generare nuovi punteggi di sicurezza che includono i dati delle regioni aggiornate.

## Metodo di calcolo dei punteggi di sicurezza
<a name="standard-security-score-calculation"></a>

I punteggi di sicurezza rappresentano la proporzione tra controlli **passati** e controlli abilitati. Il punteggio viene visualizzato come percentuale arrotondata per eccesso o per difetto al numero intero più vicino.

Security Hub CSPM calcola un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Security Hub CSPM calcola anche un punteggio di sicurezza per ogni standard abilitato. **Ai fini del calcolo del punteggio, i controlli abilitati includono controlli con lo stato di **Passato**, **Non riuscito** e Sconosciuto.** I controlli con stato **Nessun dato** sono esclusi dal calcolo del punteggio.

Security Hub CSPM ignora i risultati archiviati e soppressi durante il calcolo dello stato del controllo. Ciò può influire sui punteggi di sicurezza. Ad esempio, se si eliminano tutti i risultati non riusciti di un controllo, il relativo stato diventa **Passato**, il che a sua volta può migliorare i punteggi di sicurezza. Per ulteriori informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).

**Esempio di punteggio:**


| Standard | Controlli superati | Controlli falliti | Controlli sconosciuti | Punteggio standard | 
| --- | --- | --- | --- | --- | 
|  AWS Best practice di sicurezza di base v1.0.0  |  168  |  22  |  0  |  88%  | 
|  Benchmark CIS AWS Foundations v1.4.0  |  8  |  29  |  0  |  22%  | 
|  Benchmark CIS AWS Foundations v1.2.0  |  6  |  35  |  0  |  15%  | 
|  Pubblicazione speciale del NIST 800-53 Revisione 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

Nel calcolo del punteggio di sicurezza riassuntivo, Security Hub CSPM conta ogni controllo una sola volta tra gli standard. Ad esempio, se è stato abilitato un controllo che si applica a tre standard abilitati, ai fini del punteggio viene conteggiato come un solo controllo abilitato.

In questo esempio, sebbene il numero totale di controlli abilitati tra gli standard abilitati sia 528, Security Hub CSPM conta ogni controllo univoco solo una volta ai fini del punteggio. Il numero di controlli univoci abilitati è probabilmente inferiore a 528. Se assumiamo che il numero di controlli univoci abilitati sia 515 e che il numero di controlli unici approvati sia 357, il punteggio riepilogativo è 69%. Questo punteggio viene calcolato dividendo il numero di controlli univoci passati per il numero di controlli univoci abilitati.

Potresti avere un punteggio di riepilogo diverso dal punteggio di sicurezza standard, anche se hai abilitato solo uno standard nel tuo account nella regione corrente. Ciò può verificarsi se hai effettuato l'accesso a un account amministratore e negli account membro sono abilitati standard aggiuntivi o standard diversi. Ciò può verificarsi anche se stai visualizzando il punteggio della Regione di aggregazione e nelle Regioni collegate sono abilitati standard aggiuntivi o standard diversi.

## Punteggi di sicurezza per gli account degli amministratori
<a name="standard-security-score-admin"></a>

Se hai effettuato l'accesso a un account amministratore, il punteggio di sicurezza riepilogativo e i punteggi standard tengono conto degli stati di controllo nell'account amministratore e in tutti gli account dei membri.

Se lo stato di un controllo è **Non riuscito** anche in un solo account membro, il relativo stato è **Non riuscito** nell'account amministratore e influisce sui punteggi dell'account amministratore.

Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.

## Punteggi di sicurezza se hai impostato una regione di aggregazione
<a name="standard-security-aggregation-region"></a>

Se hai impostato un'aggregazione Regione AWS, il punteggio di sicurezza riassuntivo e i punteggi standard tengono conto complessivamente degli stati di controllo Regioni collegate.

Se lo stato di un controllo è **Non riuscito** anche in una sola regione collegata, il relativo stato è **Non riuscito** nella regione di aggregazione e influisce sui punteggi della regione di aggregazione.

Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.

# Categorie di controllo in Security Hub CSPM
<a name="control-categories"></a>

A ogni controllo viene assegnata una categoria. La categoria di un controllo riflette la funzione di protezione a cui si applica il controllo.

Il valore della categoria contiene la categoria, la sottocategoria all'interno della categoria e, facoltativamente, un classificatore all'interno della sottocategoria. Esempio:
+ Identifica > Inventario
+ Proteggi > Protezione dei dati > Crittografia dei dati in transito

Di seguito sono riportate le descrizioni delle categorie, sottocategorie e classificatori disponibili.

## Identificazione
<a name="control-category-identify"></a>

Sviluppare le conoscenze organizzative per gestire i rischi di sicurezza informatica per sistemi, risorse, dati e funzionalità.

** Inventory**  
Il servizio ha implementato le strategie di tagging delle risorse corrette? Le strategie di tagging includono il proprietario della risorsa?  
Quali risorse utilizza il servizio? Sono risorse approvate per questo servizio?  
Hai visibilità sull'inventario approvato? Ad esempio, utilizzi servizi come Amazon EC2 Systems Manager e Service Catalog? 

**Registrazione dei log**  
Hai abilitato in modo sicuro tutte le registrazioni rilevanti per il servizio? Alcuni esempi di file di log includono:  
+ Log di flusso Amazon VPC
+ Log di accesso per Elastic Load Balancing
+  CloudFront Registri Amazon
+  CloudWatch Registri Amazon
+ Registrazione di Amazon Relational Database Service
+ Log di indicizzazione lenti di Amazon OpenSearch Service
+ Tracciamento X-Ray
+ AWS Directory Service registri
+ AWS Config articoli
+ Snapshot

## Protezione
<a name="control-category-protect"></a>

Sviluppare e implementare le misure di sicurezza appropriate per garantire la fornitura di servizi di infrastruttura critica e procedure di codifica sicure.

**Gestione sicura degli accessi**  
Il servizio utilizza pratiche con privilegi minimi nelle sue politiche IAM o in materia di risorse?  
Le password e i segreti sono sufficientemente complessi? Sono ruotati in modo appropriato?  
Il servizio utilizza l'autenticazione a più fattori (MFA)?  
Il servizio evita l'utente root?  
I criteri basati sulle risorse consentono l'accesso pubblico?

**Configurazione di rete sicura**  
Il servizio evita l'accesso alla rete remota pubblico e non sicuro?  
Il servizio viene utilizzato VPCs correttamente? Ad esempio, i job sono necessari per essere eseguiti VPCs?  
Il servizio segmenta e isola correttamente le risorse sensibili? 

**Protezione dei dati**  
Crittografia dei dati inattivi: il servizio crittografa i dati inattivi?  
Crittografia dei dati in transito: il servizio crittografa i dati in transito?  
Integrità dei dati: il servizio convalida l'integrità dei dati?  
Protezione dall'eliminazione dei dati: il servizio protegge i dati dall'eliminazione accidentale?  
Gestione e utilizzo dei dati: utilizzi servizi come Amazon Macie per tracciare la posizione dei tuoi dati sensibili?

**Protezione API**  
Il servizio viene utilizzato AWS PrivateLink per proteggere le operazioni dell'API del servizio?

**Servizi di protezione**  
Sono in atto i servizi di protezione corretti? Forniscono la giusta quantità di copertura?  
I servizi di protezione consentono di deviare gli attacchi e i compromessi diretti al servizio. Esempi di servizi di protezione AWS includono AWS Control Tower,, AWS WAF, Vanta AWS Shield Advanced, Secrets Manager, IAM Access Analyzer e AWS Resource Access Manager.

**Sviluppo sicuro**  
Si utilizzano pratiche di codifica sicure?  
Si evitano vulnerabilità quali la Top Ten Open Web Application Security Project (OWASP)?

## Rilevamento
<a name="control-category-detect"></a>

Sviluppare e implementare le attività appropriate per identificare il verificarsi di un evento di sicurezza informatica.

**Servizi di rilevamento**  
Sono disponibili i servizi di rilevamento corretti?  
Forniscono la giusta quantità di copertura?  
Esempi di servizi di AWS rilevamento includono Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective, CloudWatch Amazon AWS IoT Device Defender Alarms e. AWS Trusted Advisor

## Rispondi
<a name="control-category-respond"></a>

Sviluppare e implementare le attività appropriate per intervenire in merito a un evento di sicurezza informatica rilevato.

**Azioni di risposta**  
Rispondi rapidamente agli eventi di sicurezza?  
Avete qualche risultato critico attivo o ad alta gravità?

**Informatica forense**  
È possibile acquisire in modo sicuro i dati forensi per il servizio? Ad esempio, acquisisci istantanee di Amazon EBS associate a risultati realmente positivi?  
Hai creato un account forense?

## Ripristino
<a name="control-category-recover"></a>

Sviluppare e implementare le attività appropriate per mantenere piani di resilienza e ripristinare eventuali funzionalità o servizi compromessi a causa di un evento di sicurezza informatica.

**Resilienza**  
La configurazione del servizio supporta failover agevoli, scalabilità elastica e disponibilità elevata?  
Sono stati stabiliti dei backup? 

# Revisione dei dettagli dei controlli in Security Hub CSPM
<a name="securityhub-standards-control-details"></a>

Selezionando un controllo nella pagina **Controlli** o nella pagina dei dettagli standard della console Security Hub CSPM si accede a una pagina con i dettagli del controllo.

La parte superiore della pagina dei dettagli del controllo indica lo stato del controllo. Lo stato del controllo riassume le prestazioni di un controllo in base allo stato di conformità dei risultati del controllo. Security Hub CSPM genera in genere lo stato di controllo iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. Gli stati sono disponibili solo per i controlli abilitati quando si visitano tali pagine.

La pagina dei dettagli del controllo fornisce anche un'analisi dello stato di conformità dei risultati del controllo nelle ultime 24 ore. Per ulteriori informazioni sullo stato del controllo e sullo stato di conformità, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).

AWS Config la registrazione delle risorse deve essere configurata per visualizzare lo stato del controllo. Dopo la prima generazione degli stati di controllo, Security Hub CSPM aggiorna lo stato del controllo ogni 24 ore in base ai risultati delle 24 ore precedenti.

Gli account amministratore visualizzano uno stato di controllo aggregato tra l'account amministratore e gli account dei membri. Se hai impostato una regione di aggregazione, lo stato di controllo include i risultati in tutte le regioni collegate. Per ulteriori informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).

È inoltre possibile abilitare o disabilitare il controllo dalla pagina dei dettagli del controllo.

**Nota**  
Possono essere necessarie fino a 24 ore dall'attivazione di un controllo per la generazione degli stati di controllo per la prima volta nelle regioni della Cina e. AWS GovCloud (US) Regions

La scheda **Standard e requisiti** elenca gli standard per i quali è possibile abilitare un controllo e i requisiti relativi al controllo da diversi quadri di conformità.

La scheda **Controlli** elenca i risultati attivi del controllo nelle ultime 24 ore. I risultati del controllo vengono generati e aggiornati quando Security Hub CSPM esegue i controlli di sicurezza per il controllo. L'elenco in questa scheda non include i risultati archiviati.

Per ogni risultato, l'elenco fornisce l'accesso ai dettagli della ricerca, come lo stato di conformità e le risorse correlate. È inoltre possibile impostare lo stato del flusso di lavoro di ogni risultato e inviare i risultati ad azioni personalizzate. Per ulteriori informazioni, consulta [Revisione e gestione dei risultati del controllo](securityhub-control-manage-findings.md).

## Visualizzazione dei dettagli di un controllo
<a name="view-control-details-console"></a>

Scegli il metodo di accesso preferito e segui questi passaggi per esaminare i dettagli di un controllo. I dettagli si applicano all'account corrente e alla regione e includono quanto segue:
+ Il titolo e la descrizione del controllo.
+ Un collegamento alle linee guida per la correzione dei risultati di un controllo fallito.
+ La severità del controllo.
+ Lo stato del controllo.

Sulla console, puoi anche visualizzare un elenco dei risultati recenti relativi al controllo. Per eseguire questa operazione a livello di codice, è possibile utilizzare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.

------
#### [ Security Hub CSPM console ]

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Controlli** nel pannello di navigazione.

1. Seleziona un controllo.

------
#### [ Security Hub CSPM API ]

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci uno o più standard ARNs per ottenere un elenco di controlli IDs per quello standard. Per ottenere lo standard ARNs, esegui [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Se non fornisci un ARN standard, questa API restituisce tutto il controllo CSPM di Security Hub. IDs Questa API restituisce un controllo di sicurezza indipendente dagli standard IDs, non il controllo basato sugli standard esistente prima di queste versioni di funzionalità. IDs 

   **Richiesta di esempio:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` per ottenere dettagli su uno o più controlli nella versione corrente Account AWS e Regione AWS.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci uno o più standard ARNs per ottenere un elenco di controlli IDs. Per ottenere lo standard ARNs, esegui il `describe-standards` comando. Se non si fornisce un ARN standard, questo comando restituisce tutto il controllo CSPM di Security Hub. IDs Questo comando restituisce un controllo di sicurezza indipendente dagli standard IDs, non il controllo basato sugli standard esistente prima di queste versioni di funzionalità. IDs 

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` comando per ottenere dettagli su uno o più controlli nella versione corrente e. Account AWS Regione AWS

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Controlli di filtraggio e ordinamento in Security Hub CSPM
<a name="controls-filter-sort"></a>

Nella console AWS Security Hub CSPM, è possibile utilizzare la pagina **Controlli** per esaminare una tabella dei controlli disponibili nella versione corrente. Regione AWS L'eccezione è una regione di aggregazione. Se hai [configurato una regione di aggregazione](finding-aggregation.md) e accedi a tale regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più regioni collegate.

Per concentrarti su un sottoinsieme specifico di controlli, puoi ordinare e filtrare la tabella dei controlli. Le opzioni **Filtra** per accanto alla tabella possono aiutarti a concentrarti rapidamente su questi sottoinsiemi specifici:
+ Tutti i controlli abilitati, ossia i controlli abilitati in almeno uno standard abilitato.
+ Tutti i controlli disabilitati, ovvero i controlli disabilitati in tutti gli standard.
+ Tutti i controlli abilitati con uno stato di controllo specifico, ad esempio **Non riuscito**. L'opzione **Nessun dato** visualizza solo i controlli per i quali attualmente non sono presenti risultati. Per informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).

Oltre alle opzioni **Filtra** per, è possibile filtrare la tabella inserendo i criteri di **filtro nella casella di controllo Filtra** sopra la tabella. Ad esempio, è possibile filtrare per ID di controllo o gravità.

Per impostazione predefinita, i controlli con stato **Non riuscito** vengono elencati per primi, in ordine decrescente per gravità. È possibile modificare l'ordinamento scegliendo un'intestazione di colonna diversa.

**Suggerimento**  
Se disponi di flussi di lavoro automatizzati basati sui risultati del controllo, ti consigliamo di utilizzare i [campi `SecurityControlId` o `SecurityControlArn` ASFF](securityhub-findings-format.md) come filtri, anziché i campi `Title` or`Description`. Questi ultimi campi possono cambiare occasionalmente, mentre l'ID di controllo e l'ARN sono identificatori statici.

Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, i controlli **abilitati** includono i controlli abilitati in almeno un account membro. Se hai configurato una regione di aggregazione, i controlli **abilitati** includono controlli abilitati in almeno una regione collegata.

Se si seleziona l'opzione accanto a un controllo abilitato, viene visualizzato un pannello che mostra gli standard in cui il controllo è attualmente abilitato. È inoltre possibile visualizzare gli standard in cui il controllo è attualmente disabilitato. Da questo pannello è possibile disabilitare un controllo in tutti gli standard. Per ulteriori informazioni, consulta [Disabilitazione dei controlli in Security Hub CSPM](disable-controls-overview.md). Per gli account amministratore, le informazioni nel pannello riflettono le impostazioni di tutti gli account membro.

Per recuperare un elenco di controlli a livello di codice, è possibile utilizzare il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)funzionamento dell'API CSPM Security Hub. Per recuperare i dettagli dei singoli controlli, usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)

# Comprensione dei parametri di controllo in Security Hub CSPM
<a name="custom-control-parameters"></a>

Alcuni controlli in AWS Security Hub CSPM utilizzano parametri che influiscono sul modo in cui il controllo viene valutato. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub CSPM. Tuttavia, per un sottoinsieme di questi controlli, è possibile modificare i valori dei parametri. Quando si modifica il valore di un parametro di controllo, Security Hub CSPM inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub CSPM genera un risultato. `PASSED` Se la risorsa non soddisfa il valore personalizzato, Security Hub CSPM genera un `FAILED` risultato.

Personalizzando i parametri di controllo, è possibile affinare le best practice di sicurezza consigliate e monitorate da Security Hub CSPM per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, è possibile personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle proprie esigenze di sicurezza.

Ecco alcuni esempi di casi d'uso per modificare i parametri di controllo e impostare valori personalizzati:
+ **[CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato**

  È possibile specificare il periodo di conservazione.
+ **[IAM.7] — Le policy relative alle password per gli utenti IAM devono avere configurazioni solide**

  È possibile specificare parametri relativi alla complessità della password.
+ **[EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate**

  È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.
+ **[Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità**

  È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.

Questa sezione descrive gli aspetti da considerare quando si modificano i parametri di controllo.

## Effetto della modifica dei valori dei parametri di controllo
<a name="custom-control-parameters-overview"></a>

Quando modificate il valore di un parametro, attivate anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub CSPM genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub CSPM utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub CSPM non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub CSPM valuti il controllo in base al nuovo valore del parametro.

Un controllo può avere uno o più parametri personalizzabili. I tipi di dati possibili per ogni parametro di controllo includono:
+ Booleano
+ Double
+ Enum
+ EnumList
+ Numero intero
+ IntegerList
+ Stringa
+ StringList

I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).

Per alcuni controlli, i valori dei parametri accettabili devono rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub CSPM fornisce l'intervallo accettabile.

Security Hub CSPM sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non venga modificato. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore CSPM predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub CSPM. Ecco un esempio del controllo **[ACM.1]: i certificati importati ed emessi da ACM devono essere** rinnovati dopo un periodo di tempo specificato:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

Nell'esempio precedente, il `daysToExpiration` parametro ha un valore personalizzato di. `30` Inoltre, il valore predefinito corrente per questo parametro è`30`. Se Security Hub CSPM modifica il valore predefinito in`14`, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di. `30`

Se desideri tenere traccia degli aggiornamenti al valore CSPM predefinito di Security Hub per un parametro, imposta il `ValueType` campo su `DEFAULT` invece di. `CUSTOM` Per ulteriori informazioni, consulta [Ripristino dei parametri di controllo predefiniti in un unico account e regione](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controlli che supportano parametri personalizzati
<a name="controls-list-custom-parameters"></a>

Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, vedere la pagina **Controlli** della console CSPM di Security Hub o il. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Per recuperare questo elenco a livello di codice, è possibile utilizzare l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) Nella risposta, l'`CustomizableProperties`oggetto indica quali controlli supportano parametri personalizzabili.

# Revisione dei valori correnti dei parametri di controllo
<a name="view-control-parameters"></a>

Può essere utile conoscere il valore corrente di un parametro di controllo prima di modificarlo.

Puoi rivedere i valori correnti per i singoli parametri di controllo nel tuo account. Se si utilizza la configurazione centrale, l'amministratore delegato di AWS Security Hub CSPM può anche esaminare i valori dei parametri specificati in una politica di configurazione.

Scegliete il metodo preferito e seguite i passaggi per rivedere i valori correnti dei parametri di controllo.

------
#### [ Security Hub CSPM console ]

**Per rivedere i valori correnti dei parametri di controllo (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Scegli un controllo.

1. Scegli la scheda **Parametri**. Questa scheda mostra i valori correnti dei parametri per il controllo.

------
#### [ Security Hub CSPM API ]

**Per rivedere i valori correnti dei parametri di controllo (API)**

Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API e fornisci uno o più controlli di sicurezza IDs oppure ARNs. L'`Parameters`oggetto nella risposta mostra i valori correnti dei parametri per i controlli specificati.

Ad esempio, il AWS CLI comando seguente mostra i valori correnti dei parametri per `APIGatway.1``CloudWatch.15`, e`IAM.7`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Scegliete il metodo preferito per visualizzare i valori correnti dei parametri in una politica di configurazione centrale.

------
#### [ Security Hub CSPM console ]

**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Nella scheda **Politiche**, seleziona la politica di configurazione, quindi scegli **Visualizza dettagli**. Vengono quindi visualizzati i dettagli della politica, inclusi i valori dei parametri correnti.

------
#### [ Security Hub CSPM API ]

**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (API)**

1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.

1. Fornisci l'ARN o l'ID della politica di configurazione di cui desideri visualizzare i dettagli. La risposta include i valori dei parametri correnti.

Ad esempio, il AWS CLI comando seguente recupera i valori dei parametri di controllo correnti nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

I risultati del controllo includono anche i valori correnti dei parametri di controllo. In[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md), questi valori vengono visualizzati nel `Parameters` campo dell'`Compliance`oggetto. Per esaminare i risultati sulla console CSPM di Security Hub, scegli **Findings** nel riquadro di navigazione. Per esaminare i risultati a livello di codice, utilizzate il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.

# Personalizzazione dei valori dei parametri di controllo
<a name="customize-control-parameters"></a>

Le istruzioni per personalizzare i parametri di controllo variano a seconda che si utilizzi o meno la [configurazione centrale](central-configuration-intro.md) in AWS Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs

Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che includono parametri di controllo personalizzati. Queste politiche possono essere associate ad account membri gestiti OUs centralmente e hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può anche designare uno o più account come autogestiti, il che consente al proprietario dell'account di configurare i propri parametri separatamente in ciascuna regione. Se l'organizzazione non utilizza la configurazione centrale, è necessario personalizzare i parametri di controllo separatamente in ogni account e regione.

Ti consigliamo di utilizzare la configurazione centrale perché consente di allineare i valori dei parametri di controllo tra le diverse parti dell'organizzazione. Ad esempio, tutti gli account di test potrebbero utilizzare determinati valori di parametro e tutti gli account di produzione potrebbero utilizzare valori diversi.

## Personalizzazione dei parametri di controllo in più account e regioni
<a name="customize-control-parameters-central-config"></a>

Se sei l'amministratore delegato di Security Hub CSPM di un'organizzazione che utilizza la configurazione centrale, scegli il metodo preferito e segui i passaggi per personalizzare i parametri di controllo su più account e regioni.

------
#### [ Security Hub CSPM console ]

**Per personalizzare i valori dei parametri di controllo in più account e regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Assicurati di aver effettuato l'accesso alla regione d'origine.

1. Nel riquadro di navigazione, scegli **Impostazioni** e **configurazione**.

1. Scegliere la scheda **Policy**.

1. Per creare una nuova politica di configurazione che includa parametri personalizzati, scegli **Crea politica**. Per specificare parametri personalizzati in una politica di configurazione esistente, seleziona la politica, quindi scegli **Modifica**.

   **Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**

   1. Nella sezione **Politica personalizzata**, scegli gli standard e i controlli di sicurezza che desideri abilitare.

   1. Seleziona **Personalizza i parametri di controllo**.

   1. Seleziona un controllo, quindi specifica i valori personalizzati per uno o più parametri.

   1. Per personalizzare i parametri per più controlli, scegli **Personalizza controllo aggiuntivo**.

   1. Nella sezione **Account**, seleziona gli account o a OUs cui desideri applicare la politica.

   1. Scegli **Next (Successivo)**.

   1. Scegli **Crea politica e applicala**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

   **Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**

   1. Nella sezione **Controlli**, in **Criteri personalizzati**, specificate i nuovi valori dei parametri personalizzati che desiderate.

   1. Se è la prima volta che personalizzi i parametri di controllo in questa politica, seleziona **Personalizza parametri di controllo**, quindi seleziona un controllo da personalizzare. Per personalizzare i parametri per ulteriori controlli, scegli **Personalizza controllo aggiuntivo**.

   1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.

   1. Scegli **Next (Successivo)**.

   1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

------
#### [ Security Hub CSPM API ]

**Per personalizzare i valori dei parametri di controllo in più account e regioni (API)**

**Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**

1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.

1. Per l'`SecurityControlCustomParameters`oggetto, fornite l'identificatore di ogni controllo che desiderate personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Il `Value` campo non può essere vuoto quando lo `ValueType` è`CUSTOM`. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

**Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.

1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

Ad esempio, il AWS CLI comando seguente crea una nuova politica di configurazione con un valore personalizzato per il `daysToExpiration` parametro di`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalizzazione dei parametri di controllo in un unico account e regione
<a name="customize-control-parameters-local-config"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi personalizzare i parametri di controllo per il tuo account solo in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per personalizzare i parametri di controllo. Le modifiche si applicano solo al tuo account nella regione corrente. Per personalizzare i parametri di controllo in altre regioni, ripeti i passaggi seguenti in ogni account e regione aggiuntivi in cui desideri personalizzare i parametri. Lo stesso controllo può utilizzare valori di parametri diversi in regioni diverse.

------
#### [ Security Hub CSPM console ]

**Per personalizzare i valori dei parametri di controllo in un account e in una regione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Nella tabella, scegli un controllo che supporti i parametri personalizzati per cui desideri modificare i parametri. La colonna **Parametri personalizzati** indica quali controlli supportano i parametri personalizzati.

1. Nella pagina dei dettagli del controllo, scegli la scheda **Parametri**, quindi scegli **Modifica**.

1. Specificate i valori dei parametri che desiderate.

1. Facoltativamente, nella sezione **Motivo della modifica**, selezionare un motivo per la personalizzazione dei parametri.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

**Per personalizzare i valori dei parametri di controllo in un account e in un'unica regione (API)**

1. Invoca l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Per`SecurityControlId`, fornisci l'ID del controllo che desideri personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

1. Facoltativamente`LastUpdateReason`, fornisci un motivo per personalizzare i parametri di controllo.

Ad esempio, il AWS CLI comando seguente definisce un valore personalizzato per il `daysToExpiration` parametro di. `ACM.1` Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Ripristino dei valori dei parametri di controllo predefiniti
<a name="revert-default-parameter-values"></a>

Un parametro di controllo può avere un valore predefinito definito da AWS Security Hub CSPM. Occasionalmente, Security Hub CSPM aggiorna il valore predefinito di un parametro per riflettere le best practice di sicurezza in evoluzione. Se non è stato specificato un valore personalizzato per un parametro di controllo, il controllo tiene traccia automaticamente di tali aggiornamenti e utilizza il nuovo valore predefinito.

È possibile tornare a utilizzare i valori dei parametri predefiniti per un controllo. Le istruzioni per la reversione dipendono dall'utilizzo o meno della [configurazione centrale](central-configuration-intro.md) in Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs

**Nota**  
Non tutti i parametri di controllo hanno un valore CSPM di Security Hub predefinito. In questi casi, quando `ValueType` è impostato su`DEFAULT`, non esiste un valore predefinito specifico utilizzato da Security Hub CSPM. Piuttosto, Security Hub CSPM ignora il parametro in assenza di un valore personalizzato.

## Ripristino dei parametri di controllo predefiniti in più account e regioni
<a name="revert-default-parameter-values-central-config"></a>

Se utilizzi la configurazione centrale, puoi ripristinare i parametri di controllo per più account gestiti centralmente, nella regione di origine e OUs nelle regioni collegate.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti su più account e regioni utilizzando la configurazione centrale.

------
#### [ Security Hub CSPM console ]

**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegliere la scheda **Policy**.

1. Seleziona una politica, quindi scegli **Modifica**. 

1. In **Criteri personalizzati**, la sezione **Controlli** mostra un elenco di controlli per i quali sono stati specificati parametri personalizzati.

1. Trova il controllo che ha uno o più valori di parametro da ripristinare. Quindi, scegli **Rimuovi** per ripristinare i valori predefiniti.

1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.

1. Scegli **Next (Successivo)**.

1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

------
#### [ Security Hub CSPM API ]

**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (API)**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.

1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.

1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo per il quale desideri ripristinare uno o più parametri.

1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente.

**avvertimento**  
Se si omette un oggetto di controllo dal `SecurityControlCustomParameters` campo, Security Hub CSPM ripristina tutti i parametri personalizzati per il controllo ai valori predefiniti. Un elenco completamente vuoto riporta i parametri `SecurityControlCustomParameters` personalizzati per tutti i controlli ai valori predefiniti.

Ad esempio, il AWS CLI comando seguente riporta il parametro `daysToExpiration` control `ACM.1` al valore predefinito nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Ripristino dei parametri di controllo predefiniti in un unico account e regione
<a name="revert-default-parameter-values-local-config"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi tornare a utilizzare i valori dei parametri predefiniti per il tuo account in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti per il tuo account in una singola regione. Per ripristinare i valori dei parametri predefiniti in altre regioni, ripeti questi passaggi in ogni regione aggiuntiva.

**Nota**  
Se disabiliti Security Hub CSPM, i parametri di controllo personalizzati vengono ripristinati. Se abiliti nuovamente Security Hub CSPM in futuro, tutti i controlli utilizzeranno i valori dei parametri predefiniti per l'avvio.

------
#### [ Security Hub CSPM console ]

**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in una regione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Scegliete il controllo per il quale desiderate ripristinare i valori dei parametri predefiniti.

1. Nella `Parameters` scheda, scegli **Personalizzato** accanto a un parametro di controllo. Quindi, scegli **Rimuovi personalizzazione.** Questo parametro ora utilizza il valore CSPM predefinito di Security Hub e tiene traccia degli aggiornamenti futuri al valore predefinito.

1. Ripetere il passaggio precedente per ogni valore di parametro che si desidera ripristinare.

------
#### [ Security Hub CSPM API ]

**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in un'unica regione (API)**

1. Invoca l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)

1. Per`SecurityControlId`, fornisci l'ARN o l'ID del controllo di cui desideri ripristinare i parametri.

1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora.

1. Facoltativamente`LastUpdateReason`, fornisci un motivo per ripristinare i valori dei parametri predefiniti.

Ad esempio, il AWS CLI comando seguente ripristina il valore predefinito del parametro `daysToExpiration` control for`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Verifica dello stato delle modifiche ai parametri di controllo
<a name="parameter-update-status"></a>

Quando si tenta di personalizzare un parametro di controllo o di ripristinare il valore predefinito, è possibile verificare se le modifiche desiderate sono state efficaci. Questo aiuta a garantire che un controllo funzioni come previsto e fornisca il valore di sicurezza previsto. Se l'aggiornamento di un parametro non riesce, Security Hub CSPM mantiene il valore corrente del parametro.

Per verificare che l'aggiornamento di un parametro sia andato a buon fine, puoi esaminare i dettagli del controllo sulla console CSPM di Security Hub. Sulla console, scegli **Controlli** nel pannello di navigazione. Quindi, scegli un controllo per visualizzarne i dettagli. La scheda **Parametri** mostra lo stato della modifica del parametro.

A livello di programmazione, se la richiesta di aggiornamento di un parametro è valida, il valore del `UpdateStatus` campo è `UPDATING` in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)operazione. Ciò significa che l'aggiornamento era valido, ma tutti i risultati potrebbero non includere ancora i valori dei parametri aggiornati. Quando il valore di `UpdateState` cambia in`READY`, Security Hub CSPM utilizza i valori dei parametri di controllo aggiornati durante l'esecuzione dei controlli di sicurezza del controllo. I risultati includono i valori dei parametri aggiornati.

L'`UpdateSecurityControl`operazione restituisce una `InvalidInputException` risposta per i valori dei parametri non validi. La risposta fornisce ulteriori dettagli sul motivo dell'errore. Ad esempio, è possibile che abbiate specificato un valore che non rientra nell'intervallo valido per un parametro. In alternativa, potresti aver specificato un valore che non utilizza il tipo di dati corretto. Invia nuovamente la richiesta con un input valido.

Se si verifica un errore interno quando si tenta di aggiornare il valore di un parametro, Security Hub CSPM riprova automaticamente se è stato abilitato. AWS Config Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

# Revisione e gestione dei risultati di controllo in Security Hub CSPM
<a name="securityhub-control-manage-findings"></a>

La pagina dei dettagli del controllo mostra un elenco di risultati attivi per un controllo. L'elenco non include i risultati archiviati.

La pagina dei dettagli del controllo supporta l'aggregazione tra regioni. Se è stata impostata una regione di aggregazione, lo stato del controllo e l'elenco dei controlli di sicurezza nella pagina dei dettagli del controllo includono i controlli provenienti da tutti i collegamenti. Regioni AWS

L'elenco fornisce strumenti per filtrare e ordinare i risultati, in modo che tu possa concentrarti prima sui risultati più urgenti. Una scoperta può includere collegamenti ai dettagli delle risorse nella relativa console di servizio. Per i controlli basati su AWS Config regole, è possibile visualizzare i dettagli sulla regola.

Puoi anche utilizzare l'API CSPM AWS di Security Hub per recuperare un elenco di risultati e dettagli delle scoperte.

Per ulteriori informazioni, consulta [Revisione dei dettagli e della cronologia dei risultati](securityhub-findings-viewing.md#finding-view-details-console).

Per riflettere lo stato attuale dell'indagine su un risultato di controllo, imposti lo stato del flusso di lavoro. Per ulteriori informazioni, consulta [Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM](findings-workflow-status.md).

Puoi anche inviare alcuni risultati CSPM di Security Hub a un'azione personalizzata in Amazon. EventBridge Per ulteriori informazioni, consulta [Invio dei risultati a un'azione CSPM personalizzata di Security Hub](findings-custom-action.md).

**Topics**
+ [

# Filtraggio e ordinamento dei risultati del controllo
](control-finding-list.md)
+ [

# Esempi di risultati di controllo
](sample-control-findings.md)

# Filtraggio e ordinamento dei risultati del controllo
<a name="control-finding-list"></a>

La selezione di un controllo dalla pagina **Controlli** della console AWS Security Hub CSPM o dalla pagina dei dettagli di uno standard porta alla pagina dei dettagli del controllo.

La pagina dei dettagli del controllo mostra il titolo e la descrizione del controllo, lo stato generale del controllo e un'analisi dettagliata dei controlli di sicurezza per il controllo nelle ultime 24 ore.

Utilizza le opzioni **Filtra** per accanto all'elenco dei controlli di controllo per concentrarti rapidamente sui risultati con uno stato del [flusso di lavoro o uno stato](findings-workflow-status.md) di [conformità](controls-overall-status.md#controls-overall-status-compliance-status) specifici.

Oltre alle opzioni **Filtra per**, puoi utilizzare la casella **Aggiungi filtro** per filtrare l'elenco dei controlli in base ad altri campi, come Account AWS ID o ID risorsa.

Per impostazione predefinita, i risultati con uno stato di conformità **PASSES** vengono elencati per primi. È possibile modificare l'ordinamento predefinito scegliendo un'opzione diversa nelle intestazioni delle colonne.

Dalla pagina dei dettagli del controllo, puoi scegliere **Scarica per scaricare** la pagina corrente dei risultati del controllo in un file.csv.

Se filtri l'elenco dei risultati, il download include solo i controlli che corrispondono al filtro. Se si selezionano risultati specifici dall'elenco, il download include solo i risultati selezionati.

Per ulteriori informazioni sul filtraggio dei risultati, consulta[Filtraggio dei risultati in Security Hub CSPM](securityhub-findings-manage.md).

# Esempi di risultati di controllo
<a name="sample-control-findings"></a>

Gli esempi seguenti forniscono esempi di risultati del controllo CSPM di AWS Security Hub nel AWS Security Finding Format (ASFF). Il contenuto dei risultati di controllo varia a seconda che siano stati abilitati o meno i risultati di controllo consolidati.

Se abiliti i risultati del controllo consolidato, Security Hub CSPM genera un singolo risultato per un controllo, anche se il controllo si applica a più standard abilitati. Se non abiliti questa funzionalità, Security Hub CSPM genera un risultato di controllo separato per ogni standard abilitato a cui si applica un controllo. Ad esempio, se si abilitano due standard e un controllo si applica a entrambi, si ottengono due risultati distinti per il controllo, uno per ogni standard. Se si abilitano i risultati del controllo consolidato, si riceve un solo risultato per il controllo. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).

Gli esempi in questa pagina forniscono esempi per entrambi gli scenari. Gli esempi includono: risultati di controllo per i singoli standard CSPM di Security Hub quando i risultati del controllo consolidato sono disabilitati e risultati di controllo per più standard CSPM di Security Hub quando i risultati del controllo consolidato sono abilitati.

**Topics**
+ [

## Esempi di risultati relativi allo standard AWS Foundational Security Best Practices
](#sample-finding-fsbp)
+ [

## Risultati di esempio per CIS AWS Foundations Benchmark v5.0.0
](#sample-finding-cis-5)
+ [

## Risultati di esempio per CIS AWS Foundations Benchmark v3.0.0
](#sample-finding-cis-3)
+ [

## Risultati di esempio per CIS AWS Foundations Benchmark v1.4.0
](#sample-finding-cis-1.4)
+ [

## Risultati di esempio per CIS AWS Foundations Benchmark v1.2.0
](#sample-finding-cis-1.2)
+ [

## Risultati di esempio per lo standard NIST SP 800-53 Revisione 5
](#sample-finding-nist-800-53)
+ [

## Esempio di risultato per lo standard NIST SP 800-171 Revisione 2
](#sample-finding-nist-800-171)
+ [

## Esempio di risultato relativo allo standard di sicurezza dei dati del settore delle carte di pagamento v3.2.1
](#sample-finding-pcidss-v321)
+ [

## Esempio di risultato per lo standard AWS Resource Tagging
](#sample-finding-tagging)
+ [

## Esempio di risultato per lo standard gestito dai AWS Control Tower servizi
](#sample-finding-service-managed-aws-control-tower)
+ [

## Esempio di risultato consolidato per più standard
](#sample-finding-consolidation)

**Nota**  
I risultati del controllo fanno riferimento a campi e valori diversi nelle regioni e nelle AWS GovCloud (US) regioni della Cina. Per ulteriori informazioni, consulta [Impatto del consolidamento sui campi e sui valori ASFF](asff-changes-consolidation.md).

## Esempi di risultati relativi allo standard AWS Foundational Security Best Practices
<a name="sample-finding-fsbp"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard AWS Foundational Security Best Practices (FSBP). In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## Risultati di esempio per CIS AWS Foundations Benchmark v5.0.0
<a name="sample-finding-cis-5"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a CIS Foundations Benchmark v5.0.0. AWS In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## Risultati di esempio per CIS AWS Foundations Benchmark v3.0.0
<a name="sample-finding-cis-3"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a CIS Foundations Benchmark v3.0.0. AWS In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## Risultati di esempio per CIS AWS Foundations Benchmark v1.4.0
<a name="sample-finding-cis-1.4"></a>

L'esempio seguente fornisce un esempio di risultato di un controllo che si applica a AWS CIS Foundations Benchmark v1.4.0. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Risultati di esempio per CIS AWS Foundations Benchmark v1.2.0
<a name="sample-finding-cis-1.2"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a AWS CIS Foundations Benchmark v1.2.0. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Risultati di esempio per lo standard NIST SP 800-53 Revisione 5
<a name="sample-finding-nist-800-53"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard NIST SP 800-53 Revisione 5. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## Esempio di risultato per lo standard NIST SP 800-171 Revisione 2
<a name="sample-finding-nist-800-171"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard NIST SP 800-171 Revisione 2. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Esempio di risultato relativo allo standard di sicurezza dei dati del settore delle carte di pagamento v3.2.1
<a name="sample-finding-pcidss-v321"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica al Payment Card Industry Data Security Standard (PCI DSS) v3.2.1. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## Esempio di risultato per lo standard AWS Resource Tagging
<a name="sample-finding-tagging"></a>

L'esempio seguente fornisce un esempio di ricerca di un controllo che si applica allo standard AWS Resource Tagging. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## Esempio di risultato per lo standard gestito dai AWS Control Tower servizi
<a name="sample-finding-service-managed-aws-control-tower"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard gestito dai AWS Control Tower servizi. In questo esempio, i risultati del controllo consolidato sono disabilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## Esempio di risultato consolidato per più standard
<a name="sample-finding-consolidation"></a>

L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a più standard abilitati. In questo esempio, i risultati del controllo consolidato sono abilitati.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Comprendere le integrazioni in Security Hub CSPM
<a name="securityhub-findings-providers"></a>

AWS Security Hub CSPM può acquisire i risultati di sicurezza da diverse Servizi AWS soluzioni di sicurezza di terze parti AWS Partner Network supportate. Queste integrazioni possono aiutarti a ottenere una visione completa della sicurezza e della conformità in tutto il tuo ambiente. AWS Security Hub CSPM acquisisce i risultati da soluzioni integrate e li converte nel AWS Security Finding Format (ASFF).

**Importante**  
Per le integrazioni di prodotti supportati AWS e di terze parti, Security Hub CSPM riceve e consolida i risultati generati solo dopo aver abilitato Security Hub CSPM per il tuo. Account AWS Il servizio non riceve e consolida retroattivamente i risultati di sicurezza generati prima dell'attivazione del Security Hub CSPM.

La pagina **Integrazioni** della console CSPM di Security Hub fornisce l'accesso alle integrazioni di prodotti disponibili AWS e di terze parti. L'API CSPM Security Hub dispone anche di operazioni per la gestione delle integrazioni.

Un'integrazione potrebbe non essere disponibile in tutte. Regioni AWS Se un'integrazione non è supportata nella regione a cui hai attualmente effettuato l'accesso sulla console CSPM di Security Hub, non viene visualizzata nella pagina **Integrazioni** della console. Per un elenco delle integrazioni disponibili nelle regioni della Cina e AWS GovCloud (US) Regions, consulta[Disponibilità di integrazioni per regione](securityhub-regions.md#securityhub-regions-integration-support).

Oltre alle Servizio AWS integrazioni integrate di terze parti, puoi integrare prodotti di sicurezza personalizzati con Security Hub CSPM. È quindi possibile inviare i risultati di questi prodotti a Security Hub CSPM utilizzando l'API CSPM Security Hub. Puoi anche utilizzare l'API per aggiornare i risultati esistenti che Security Hub CSPM ha ricevuto da un prodotto di sicurezza personalizzato.

**Topics**
+ [

# Revisione di un elenco di integrazioni CSPM di Security Hub
](securityhub-integrations-view-filter.md)
+ [

# Abilitazione del flusso di risultati da un'integrazione CSPM di Security Hub
](securityhub-integration-enable.md)
+ [

# Disabilitazione del flusso di risultati da un'integrazione CSPM di Security Hub
](securityhub-integration-disable.md)
+ [

# Visualizzazione dei risultati di un'integrazione CSPM di Security Hub
](securityhub-integration-view-findings.md)
+ [

# Servizio AWS integrazioni con Security Hub CSPM
](securityhub-internal-providers.md)
+ [

# Integrazioni di prodotti di terze parti con Security Hub CSPM
](securityhub-partner-providers.md)
+ [

# Integrazione di Security Hub CSPM con prodotti personalizzati
](securityhub-custom-providers.md)

# Revisione di un elenco di integrazioni CSPM di Security Hub
<a name="securityhub-integrations-view-filter"></a>

Scegli il tuo metodo preferito e segui i passaggi per esaminare un elenco di integrazioni in AWS Security Hub CSPM o i dettagli su un'integrazione specifica.

------
#### [ Security Hub CSPM console ]

**Per esaminare le opzioni e i dettagli di integrazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Integrazioni.**

Nella pagina Integrazioni, **le integrazioni** con altri Servizi AWS sono elencate per prime, seguite dalle integrazioni con prodotti di terze parti.

Per ogni integrazione, la pagina **Integrazioni** fornisce le seguenti informazioni:
+ Il nome della società
+ Il nome del prodotto
+ La descrizione dell'integrazione
+ Le categorie a cui l'integrazione si applica
+ Come abilitare l'integrazione
+ Lo stato attuale dell'integrazione

Puoi filtrare l'elenco inserendo il testo dai seguenti campi:
+ Company name (Nome dell'azienda)
+ Product name (Nome del prodotto)
+ Integration description (Descrizione dell'integrazione)
+ Categories

------
#### [ Security Hub CSPM API ]

**Per esaminare le opzioni e i dettagli di integrazione (API)**

Per ottenere un elenco di integrazioni, usa l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operazione. Se stai usando il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)comando.

Per recuperare i dettagli per un'integrazione di prodotto specifica, utilizza il `ProductArn` parametro per specificare l'Amazon Resource Name (ARN) dell'integrazione.

Ad esempio, il AWS CLI comando seguente recupera i dettagli sull'integrazione CSPM di Security Hub con 3. CORESec

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Abilitazione del flusso di risultati da un'integrazione CSPM di Security Hub
<a name="securityhub-integration-enable"></a>

Nella pagina **Integrazioni** della console CSPM di AWS Security Hub, puoi vedere i passaggi necessari per abilitare ciascuna integrazione.

Per la maggior parte delle integrazioni con altri Servizi AWS, l'unico passaggio richiesto per abilitare l'integrazione è abilitare l'altro servizio. Le informazioni sull'integrazione includono un collegamento alla home page dell'altro servizio. Quando si abilita l'altro servizio, viene quindi creata e applicata automaticamente un'autorizzazione a livello di risorsa che consente a Security Hub CSPM di ricevere i risultati dal servizio.

Per le integrazioni di prodotti di terze parti, potrebbe essere necessario acquistare l'integrazione da e quindi configurare l'integrazione. Marketplace AWS Le informazioni sull'integrazione forniscono collegamenti per completare queste attività.

Se è disponibile più di una versione di un prodotto Marketplace AWS, seleziona la versione a cui desideri abbonarti, quindi scegli **Continua con la sottoscrizione**. Ad esempio, alcuni prodotti offrono una versione standard e una AWS GovCloud (US) versione.

Quando abiliti un'integrazione di prodotto, una policy delle risorse viene automaticamente collegata a tale sottoscrizione prodotto. Questa politica delle risorse definisce le autorizzazioni di cui Security Hub CSPM ha bisogno per ricevere i risultati da quel prodotto.

Dopo aver completato i passaggi preliminari per abilitare un'integrazione, puoi disabilitare e riattivare il flusso di risultati di tale integrazione. Nella pagina **Integrazioni, per le** integrazioni che inviano risultati, le informazioni sullo **stato** indicano se i risultati sono attualmente accettati.

------
#### [ Security Hub CSPM console ]

**Per abilitare il flusso dei risultati da un'integrazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Integrazioni.**

1. Per le integrazioni che inviano risultati, le informazioni **sullo stato** indicano se Security Hub CSPM sta attualmente accettando i risultati di tale integrazione.

1. **Scegli Accetta i risultati.**

------
#### [ Security Hub CSPM API ]

Usa l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html)operazione. Se stai usando AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)comando. Per consentire a Security Hub di ricevere i risultati di un'integrazione, è necessario l'ARN del prodotto. Per ottenere le ARNs quattro integrazioni disponibili, usa l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operazione. Se stai usando il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html).

Ad esempio, il AWS CLI comando seguente consente a Security Hub CSPM di ricevere i risultati dall'integrazione CrowdStrike Falcon. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Disabilitazione del flusso di risultati da un'integrazione CSPM di Security Hub
<a name="securityhub-integration-disable"></a>

Scegli il tuo metodo preferito e segui i passaggi per disabilitare il flusso di risultati da un'integrazione CSPM AWS di Security Hub.

------
#### [ Security Hub CSPM console ]

**Per disabilitare il flusso di risultati da un'integrazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Integrazioni.**

1. Per le integrazioni che inviano risultati, le informazioni **sullo stato** indicano se Security Hub CSPM sta attualmente accettando i risultati di tale integrazione.

1. Scegli **Smetti** di accettare i risultati.

------
#### [ Security Hub CSPM API ]

Usa l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html)operazione. Se stai usando AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)comando. Per disabilitare il flusso di risultati da un'integrazione, è necessario l'ARN dell'abbonamento per l'integrazione abilitata. Per ottenere l'ARN dell'abbonamento, utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html)operazione. Se stai usando il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html).

Ad esempio, il AWS CLI comando seguente disabilita il flusso di risultati verso Security Hub CSPM dall' CrowdStrike integrazione Falcon. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Visualizzazione dei risultati di un'integrazione CSPM di Security Hub
<a name="securityhub-integration-view-findings"></a>

**Quando inizi ad accettare i risultati da un'integrazione CSPM di AWS Security Hub, la pagina **Integrazioni** della console CSPM di Security Hub mostra **lo stato** dell'integrazione come Accettazione dei risultati.** **Per esaminare un elenco dei risultati dell'integrazione, scegli Vedi risultati.**

L'elenco dei risultati mostra i risultati attivi per l'integrazione selezionata che hanno lo stato del flusso di lavoro `NEW` o `NOTIFIED`.

Se abiliti l'aggregazione tra regioni, nella regione di aggregazione l'elenco include i risultati della regione di aggregazione e delle regioni collegate in cui è abilitata l'integrazione. Security Hub non abilita automaticamente le integrazioni basate sulla configurazione di aggregazione interregionale.

In altre regioni, l'elenco dei risultati di un'integrazione contiene solo i risultati della regione corrente.

Per informazioni su come configurare l'aggregazione tra regioni, vedere. [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md)

Dall'elenco dei risultati puoi eseguire le seguenti operazioni.
+ [Modificare filtri e raggruppamento dell'elenco](securityhub-findings-manage.md)
+ [Visualizzare i dettagli per i singoli risultati](securityhub-findings-viewing.md#finding-view-details-console)
+ [Aggiornare lo stato del flusso di lavoro dei risultati](findings-workflow-status.md)
+ [Inviare i risultati alle operazioni personalizzate](findings-custom-action.md)

# Servizio AWS integrazioni con Security Hub CSPM
<a name="securityhub-internal-providers"></a>

AWS Security Hub CSPM supporta integrazioni con molti altri. Servizi AWS Queste integrazioni possono aiutarti a ottenere una visione completa della sicurezza e della conformità in tutto il tuo ambiente. AWS 

Salvo diversa indicazione di seguito, Servizio AWS le integrazioni che inviano i risultati a Security Hub CSPM vengono attivate automaticamente dopo aver abilitato Security Hub CSPM e l'altro servizio. Le integrazioni che ricevono i risultati CSPM di Security Hub potrebbero richiedere passaggi aggiuntivi per l'attivazione. Consulta le informazioni su ciascuna integrazione per saperne di più.

Alcune integrazioni non sono disponibili in tutte Regioni AWS. Nella console Security Hub CSPM, un'integrazione non viene visualizzata nella pagina **Integrazioni** se non è supportata nella regione corrente. Per un elenco delle integrazioni disponibili nelle regioni della Cina e AWS GovCloud (US) Regions, consulta[Disponibilità di integrazioni per regione](securityhub-regions.md#securityhub-regions-integration-support).

## Panoramica delle integrazioni dei AWS servizi con Security Hub CSPM
<a name="internal-integrations-summary"></a>

La tabella seguente fornisce una panoramica dei AWS servizi che inviano risultati a Security Hub CSPM o ricevono risultati da Security Hub CSPM.


| Servizio integrato AWS  | Direzione | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  Invia i risultati  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  Invia i risultati  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  Invia i risultati  | 
|  [AWS Health](#integration-health)  |  Invia i risultati  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  Invia i risultati  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  Invia i risultati  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  Invia i risultati  | 
|  [Amazon Macie](#integration-amazon-macie)  |  Invia i risultati  | 
|  [Amazon Route 53 Resolver Firewall DNS](#integration-amazon-r53rdnsfirewall)  |  Invia i risultati  | 
|  [AWS Systems Manager Gestione patch](#patch-manager)  |  Invia i risultati  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  Riceve i risultati  | 
|  [Amazon Q Developer nelle applicazioni di chat](#integration-chatbot)  |  Riceve i risultati  | 
|  [Amazon Detective](#integration-amazon-detective)  |  Riceve i risultati  | 
|  [Amazon Security Lake](#integration-security-lake)  |  Riceve i risultati  | 
|  [AWS Systems Manager Explorer e OpsCenter](#integration-ssm-explorer-opscenter)  |  Riceve e aggiorna i risultati  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  Riceve i risultati  | 

## Servizi AWS che inviano i risultati al Security Hub CSPM
<a name="integrations-internal-send"></a>

Quanto segue si Servizi AWS integra e può inviare i risultati al Security Hub CSPM. Security Hub CSPM converte i risultati nel formato [AWS Security](securityhub-findings-format.md) Finding.

### AWS Config (Invia i risultati)
<a name="integration-config"></a>

AWS Config è un servizio che consente di valutare, controllare e valutare le configurazioni delle AWS risorse. AWS Config monitora e registra continuamente le configurazioni AWS delle risorse e consente di automatizzare la valutazione delle configurazioni registrate rispetto alle configurazioni desiderate.

Utilizzando l'integrazione con AWS Config, è possibile visualizzare i risultati delle valutazioni delle regole AWS Config gestite e personalizzate come risultati in Security Hub CSPM. Questi risultati possono essere visualizzati insieme ad altri risultati CSPM di Security Hub, fornendo una panoramica completa del livello di sicurezza.

AWS Config utilizza Amazon EventBridge per inviare valutazioni delle AWS Config regole a Security Hub CSPM. Security Hub CSPM trasforma le valutazioni delle regole in risultati che seguono il [AWS Security](securityhub-findings-format.md) Finding Format. Security Hub CSPM arricchisce quindi i risultati nel miglior modo possibile ottenendo ulteriori informazioni sulle risorse interessate, come Amazon Resource Name (ARN), i tag delle risorse e la data di creazione.

Per ulteriori informazioni su questa integrazione, consulta le seguenti sezioni.

#### Come AWS Config invia i risultati al Security Hub CSPM
<a name="integration-config-how"></a>

Tutti i risultati in Security Hub CSPM utilizzano il formato JSON standard di ASFF. ASFF include dettagli sull'origine del risultato, sulla risorsa interessata e sullo stato attuale del risultato. AWS Config invia valutazioni di regole gestite e personalizzate a Security Hub CSPM tramite. EventBridge Security Hub CSPM trasforma le valutazioni delle regole in risultati che seguono ASFF e arricchisce i risultati con il massimo impegno.

##### Tipi di risultati AWS Config inviati a Security Hub CSPM
<a name="integration-config-how-types"></a>

Dopo l'attivazione dell'integrazione, AWS Config invia le valutazioni di tutte le regole AWS Config gestite e le regole personalizzate a Security Hub CSPM. Vengono inviate solo le valutazioni eseguite dopo l'attivazione del CSPM di Security Hub. Ad esempio, supponiamo che la valutazione di una AWS Config regola riveli cinque risorse fallite. Se abiliti Security Hub CSPM dopo quella valutazione e la regola rivela una sesta risorsa fallita, AWS Config invia solo la valutazione della sesta risorsa a Security Hub CSPM.

Sono escluse le valutazioni [AWS Config delle regole collegate ai servizi](securityhub-setup-prereqs.md), come quelle utilizzate per eseguire i controlli CSPM di Security Hub. L'eccezione è rappresentata dai risultati generati da regole collegate ai servizi che creano e gestiscono. AWS Control Tower AWS Config L'inclusione dei risultati di queste regole aiuta a garantire che i dati dei risultati includano i risultati dei controlli proattivi eseguiti da. AWS Control Tower

##### Invio AWS Config dei risultati a Security Hub CSPM
<a name="integration-config-how-types-send-findings"></a>

Quando l'integrazione è attivata, Security Hub CSPM assegnerà automaticamente le autorizzazioni necessarie per ricevere i risultati da. AWS Config Security Hub CSPM utilizza autorizzazioni di service-to-service livello che forniscono un modo sicuro per attivare questa integrazione e importare i risultati da Amazon. AWS Config EventBridge

##### Latenza per l'invio degli esiti
<a name="integration-config-how-types-latency"></a>

Quando si AWS Config crea un nuovo risultato, in genere è possibile visualizzarlo in Security Hub CSPM entro cinque minuti.

##### Riprovare quando Security Hub CSPM non è disponibile
<a name="integration-config-how-types-retrying"></a>

AWS Config invia i risultati al Security Hub CSPM con la massima diligenza possibile tramite. EventBridge Quando un evento non viene consegnato correttamente a Security Hub CSPM, EventBridge riprova la consegna per un massimo di 24 ore o 185 volte, a seconda dell'evento che si verifica per primo.

##### Aggiornamento dei AWS Config risultati esistenti in Security Hub CSPM
<a name="integration-config-how-types-updating"></a>

Dopo aver AWS Config inviato un risultato a Security Hub CSPM, può inviare aggiornamenti dello stesso risultato a Security Hub CSPM per riflettere ulteriori osservazioni sull'attività di ricerca. Gli aggiornamenti vengono inviati solo per gli eventi. `ComplianceChangeNotification` Se non si verifica alcuna modifica della conformità, gli aggiornamenti non vengono inviati al Security Hub CSPM. Security Hub CSPM elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la creazione se non si verifica alcun aggiornamento.

Security Hub CSPM non archivia i risultati da cui vengono inviati AWS Config anche se si elimina la risorsa associata.

##### Regioni in cui esistono i risultati AWS Config
<a name="integration-config-how-types-regions"></a>

AWS Config i risultati avvengono su base regionale. AWS Config invia i risultati al Security Hub CSPM nella stessa regione o nelle stesse regioni in cui si verificano i risultati.

### Visualizzazione dei AWS Config risultati in Security Hub CSPM
<a name="integration-config-view"></a>

Per visualizzare i AWS Config risultati, scegli **Findings** dal riquadro di navigazione CSPM di Security Hub. Per filtrare i risultati in modo da visualizzare solo AWS Config i risultati, scegli **Nome prodotto** nel menu a discesa della barra di ricerca. **Immettete **Config** e scegliete Applica.**

#### Interpretazione dei nomi AWS Config dei risultati in Security Hub CSPM
<a name="integration-config-view-interpret-finding-names"></a>

Security Hub CSPM trasforma le valutazioni delle AWS Config regole in risultati che seguono il. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) AWS Config le valutazioni delle regole utilizzano un pattern di eventi diverso rispetto a ASFF. La tabella seguente mappa i campi di valutazione delle AWS Config regole con la loro controparte ASFF così come appaiono in Security Hub CSPM.


| Tipo di risultato per la valutazione delle regole di Config | Tipo di risultati ASFF | Valore codificato | 
| --- | --- | --- | 
| dettaglio. awsAccountId | AwsAccountId |   | 
| dettaglio. newEvaluationResult. resultRecordedTime | CreatedAt |   | 
| dettaglio. newEvaluationResult. resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | <partition><region>«arn: :securityhub:::» product/aws/config | 
|  | ProductName | «Config» | 
|  | CompanyName | "AWS" | 
|  | Region | «eu-central-1" | 
| configRuleArn | GeneratorId, ProductFields |  | 
| dettaglio. ConfigRuleARN/finding/hash | Id |  | 
| dettaglio. configRuleName | Titolo, ProductFields |  | 
| dettaglio. configRuleName | Description | «Questo risultato è stato creato per una modifica della conformità delle risorse per la regola di configurazione:\$1\$1detail.ConfigRuleName\$1» | 
| Elemento di configurazione «ARN» o ARN calcolato da CSPM di Security Hub | Risorse [i] .id |  | 
| Detail.ResourceType | Risorse [i] .Type | "AwsS3Bucket" | 
|  | Risorse [i] .Partizione | "aws" | 
|  | Risorse [i] .Region | «eu-central-1" | 
| Elemento di configurazione «configuration» | Risorse [i] .Dettagli |  | 
|  | SchemaVersion | «2018-10-08" | 
|  | Etichetta di severità | Vedi «Interpretazione dell'etichetta di severità» di seguito | 
|  | Tipi | ["Controlli del software e della configurazione"] | 
| dettaglio. newEvaluationResult. Tipo di conformità | Conformità.Stato | «FAILED», «NOT\$1AVAILABLE», «PASSED» o «WARNING» | 
|  | Flusso di lavoro. Stato | «RISOLTO» se viene generato un AWS Config risultato con un valore Compliance.Status pari a «PASSED» o se Compliance.Status cambia da «FAILED» a «PASSED». Altrimenti, Workflow.Status sarà «NUOVO». È possibile modificare questo valore con l'[BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione API. | 

#### Interpretazione dell'etichetta di gravità
<a name="integration-config-view-interpret-severity"></a>

Tutti i risultati delle valutazioni delle AWS Config regole hanno un'etichetta di gravità predefinita pari a **MEDIUM** nell'ASFF. È possibile aggiornare l'etichetta di gravità di un risultato con l'operazione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.

#### Risultato tipico di AWS Config
<a name="integration-config-view-typical-finding"></a>

Security Hub CSPM trasforma le valutazioni delle AWS Config regole in risultati che seguono l'ASFF. Di seguito è riportato un esempio di un risultato tipico dell'ASFF. AWS Config 

**Nota**  
Se la descrizione è composta da più di 1.024 caratteri, verrà troncata a 1.024 caratteri e alla fine verrà visualizzato «(troncato)».

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### Abilitazione e configurazione dell'integrazione
<a name="integration-config-enable"></a>

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. AWS Config inizia immediatamente a inviare i risultati al Security Hub CSPM.

### Interruzione della pubblicazione dei risultati su Security Hub CSPM
<a name="integration-config-stop"></a>

Per interrompere l'invio dei risultati a Security Hub CSPM, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub.

Per istruzioni su come interrompere il flusso dei risultati, vedere. [Abilitazione del flusso di risultati da un'integrazione CSPM di Security Hub](securityhub-integration-enable.md)

### AWS Firewall Manager (Invia i risultati)
<a name="integration-aws-firewall-manager"></a>

Firewall Manager invia i risultati a Security Hub CSPM quando una politica WAF (Web Application Firewall) per le risorse o una regola della lista di controllo degli accessi Web (Web Access Control List) non è conforme. Firewall Manager invia i risultati anche quando AWS Shield Advanced non protegge le risorse o quando viene identificato un attacco.

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. Firewall Manager inizia immediatamente a inviare i risultati al Security Hub CSPM.

Per ulteriori informazioni sull'integrazione, visualizza la pagina **Integrazioni** nella console Security Hub CSPM.

Per ulteriori informazioni su Firewall Manager, consulta la [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).

### Amazon GuardDuty (invia i risultati)
<a name="integration-amazon-guardduty"></a>

GuardDuty invia tutti i tipi di risultati che genera a Security Hub CSPM. Alcuni tipi di ricerca hanno prerequisiti, requisiti di abilitazione o limitazioni regionali. Per ulteriori informazioni, consulta la sezione [GuardDuty Ricerca dei tipi](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) nella *Amazon GuardDuty User Guide*.

I nuovi risultati GuardDuty vengono inviati al Security Hub CSPM entro cinque minuti. Gli aggiornamenti ai risultati vengono inviati in base all'impostazione **Updated** results per Amazon EventBridge nelle GuardDuty impostazioni.

Quando si generano risultati di GuardDuty esempio utilizzando la pagina GuardDuty **Impostazioni**, Security Hub CSPM riceve i risultati del campione e omette il prefisso `[Sample]` nel tipo di risultato. Ad esempio, il tipo di ricerca del campione in GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` viene visualizzato come `Recon:IAMUser/ResourcePermissions` in Security Hub CSPM.

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. GuardDutyinizia immediatamente a inviare i risultati al Security Hub CSPM.

Per ulteriori informazioni sull' GuardDuty integrazione, consulta [Integrating with AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) nella *Amazon GuardDuty * User Guide.

### AWS Health (Invia i risultati)
<a name="integration-health"></a>

AWS Health offre una visibilità continua sulle prestazioni delle risorse e sulla disponibilità delle tue Servizi AWS e Account AWS. È possibile utilizzare AWS Health gli eventi per scoprire in che modo le modifiche ai servizi e alle risorse potrebbero influire sulle applicazioni su cui vengono eseguite AWS.

L'integrazione con AWS Health non utilizza`BatchImportFindings`. AWS Health Utilizza invece la messaggistica service-to-service degli eventi per inviare i risultati al Security Hub CSPM.

Per ulteriori informazioni sull'integrazione, consulta le seguenti sezioni.

#### Come AWS Health invia i risultati al Security Hub CSPM
<a name="integration-health-how"></a>

In CSPM Security Hub, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri AWS servizi o da partner terzi. Security Hub CSPM dispone anche di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

CSPM Security Hub fornisce strumenti per gestire gli esiti da tutte queste origini. È possibile visualizzare e filtrare gli elenchi di esiti e visualizzare i dettagli per un riscontro. Per informazioni, consulta [Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM](securityhub-findings-viewing.md). È inoltre possibile monitorare lo stato di un'indagine in un esito. Per informazioni, consulta [Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM](findings-workflow-status.md).

Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato attuale del risultato.

AWS Health è uno dei AWS servizi che invia i risultati al Security Hub CSPM.

##### Tipi di risultati AWS Health inviati a Security Hub CSPM
<a name="integration-health-how-types"></a>

Dopo aver abilitato l'integrazione, AWS Health invia i risultati che soddisfano una o più delle specifiche elencate a Security Hub CSPM. Security Hub CSPM inserisce i risultati in. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)
+ Risultati che contengono uno dei seguenti valori per: Servizio AWS
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ Risultati con `security` le `abuse` parole o `certificate` sul AWS Health `typeCode` campo
+ Risultati in cui si trova il AWS Health servizio `risk` o `abuse`

##### Invio AWS Health dei risultati a Security Hub CSPM
<a name="integration-health-how-types-send-findings"></a>

Quando scegli di accettare i risultati da AWS Health, Security Hub CSPM assegnerà automaticamente le autorizzazioni necessarie per ricevere i risultati. AWS Health Security Hub CSPM utilizza autorizzazioni di service-to-service livello che ti forniscono un modo semplice e sicuro per abilitare questa integrazione e importare i risultati da AWS Health Amazon per tuo EventBridge conto. Scegliendo **Accept Findings si concede a Security Hub l'autorizzazione CSPM di utilizzare i risultati** da. AWS Health

##### Latenza per l'invio degli esiti
<a name="integration-health-how-types-latency"></a>

Quando viene AWS Health creato un nuovo risultato, di solito viene inviato a Security Hub CSPM entro cinque minuti.

##### Riprovare quando Security Hub CSPM non è disponibile
<a name="integration-health-how-types-retrying"></a>

AWS Health invia i risultati al Security Hub CSPM con la massima diligenza possibile tramite. EventBridge Quando un evento non viene inviato correttamente a Security Hub CSPM, EventBridge riprova a inviarlo per 24 ore.

##### Aggiornamento degli esiti esistenti CSPM Security Hub
<a name="integration-health-how-types-updating"></a>

Dopo aver AWS Health inviato un risultato a Security Hub CSPM, può inviare aggiornamenti allo stesso risultato per riflettere ulteriori osservazioni sull'attività di ricerca a Security Hub CSPM. 

##### Regioni in cui esistono i risultati
<a name="integration-health-how-types-regions"></a>

Per gli eventi globali, AWS Health invia i risultati al Security Hub CSPM in us-east-1 (AWS partizione), cn-northwest-1 (partizione cinese) e -1 (partizione). gov-us-west GovCloud AWS Health invia eventi specifici della regione al Security Hub CSPM nella stessa regione o nelle stesse regioni in cui si verificano gli eventi.

#### Visualizzazione dei AWS Health risultati in Security Hub CSPM
<a name="integration-health-view"></a>

Per visualizzare i AWS Health risultati in Security Hub CSPM, scegli **Findings** dal pannello di navigazione. Per filtrare i risultati in modo da visualizzare solo AWS Health i risultati, scegli **Health** dal campo **Nome prodotto**.

##### Interpretazione dei nomi AWS Health dei risultati in Security Hub CSPM
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health invia i risultati a Security Hub CSPM utilizzando. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) AWS Health la ricerca utilizza un pattern di eventi diverso rispetto al formato ASFF CSPM di Security Hub. La tabella seguente descrive in dettaglio tutti i campi di AWS Health ricerca con la loro controparte ASFF così come appaiono in Security Hub CSPM.


| Tipo di reperto sanitario | Tipo di risultati ASFF | Valore codificato | 
| --- | --- | --- | 
| account | AwsAccountId |   | 
| Dettaglio. Ora di inizio | CreatedAt |   | 
| Detail.EventDescription.Ultima descrizione | Description |   | 
| dettaglio. eventTypeCode | GeneratorId |   | 
| detail.eventArn (incluso l'account) \$1 hash di detail.startTime | Id |   | 
| «<region>product/aws/healtharn:aws:securityhub:::» | ProductArn |   | 
| account o resourceID | Risorse [i] .id |   | 
|   | Risorse [i] .Tipo | «Altro» | 
|   | SchemaVersion | «2018-10-08" | 
|   | Etichetta di severità | Vedi «Interpretazione dell'etichetta di severità» di seguito | 
| Dettaglio «AWS Health -». eventTypeCode | Titolo |   | 
| - | Tipi | ["Controlli del software e della configurazione"] | 
| event.time | UpdatedAt |   | 
| URL dell'evento sulla console Health | SourceUrl |   | 

##### Interpretazione dell'etichetta di gravità
<a name="integration-health-view-interpret-severity"></a>

L'etichetta di gravità nel risultato ASFF viene determinata utilizzando la seguente logica:
+ Severità **CRITICA** se:
  + Il `service` campo del AWS Health risultato ha il valore `Risk`
  + Il `typeCode` campo del AWS Health risultato ha il valore `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  + Il `typeCode` campo del AWS Health risultato ha il valore `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  + Il `typeCode` campo del AWS Health risultato ha il valore `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  Severità **ALTA** se:
  + Il `service` campo del AWS Health risultato ha il valore `Abuse`
  + Il `typeCode` campo del AWS Health risultato contiene il valore `SECURITY_NOTIFICATION`
  + Il `typeCode` campo del AWS Health risultato contiene il valore `ABUSE_DETECTION`

  Severità **MEDIUM** se:
  + Il `service` campo del risultato è uno dei seguenti:`ACM`,`ARTIFACT`,`AUDITMANAGER`,`BACKUP`,`CLOUDENDURE`,`CLOUDHSM`,`CLOUDTRAIL`, `CLOUDWATCH``CODEGURGU`,`COGNITO`,`CONFIG`,`CONTROLTOWER`,`DETECTIVE`,`DIRECTORYSERVICE`, `DRS``EVENTS`,`FIREWALLMANAGER`,`GUARDDUTY`,`IAM`,`INSPECTOR`,`INSPECTOR2`,`IOTDEVICEDEFENDER`, `KMS``MACIE`,`NETWORKFIREWALL`,`ORGANIZATIONS`,`RESILIENCEHUB`,`RESOURCEMANAGER`,`ROUTE53`,`SECURITYHUB`, `SECRETSMANAGER``SES`,`SHIELD`,`SSO`,, `WAF`
  + Il campo **TypeCode** del AWS Health risultato contiene il valore `CERTIFICATE`
  + Il campo **TypeCode** del AWS Health risultato contiene il valore `END_OF_SUPPORT`

##### Risultato tipico di AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health invia i risultati a Security Hub CSPM utilizzando. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Di seguito è riportato un esempio di un risultato tipico di. AWS Health

**Nota**  
Se la descrizione supera i 1024 caratteri, verrà troncata a 1024 caratteri e alla fine verrà riportata la dicitura *(troncata*).

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### Abilitazione e configurazione dell'integrazione
<a name="integration-health-enable"></a>

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. AWS Health inizia immediatamente a inviare i risultati al Security Hub CSPM.

#### Interruzione della pubblicazione dei risultati su Security Hub CSPM
<a name="integration-health-stop"></a>

Per interrompere l'invio dei risultati a Security Hub CSPM, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub.

Per istruzioni su come interrompere il flusso dei risultati, vedere. [Abilitazione del flusso di risultati da un'integrazione CSPM di Security Hub](securityhub-integration-enable.md)

### AWS Identity and Access Management Access Analyzer (Invia i risultati)
<a name="integration-iam-access-analyzer"></a>

Con IAM Access Analyzer, tutti i risultati vengono inviati a Security Hub CSPM.

IAM Access Analyzer utilizza il ragionamento basato sulla logica per analizzare le policy basate sulle risorse applicate alle risorse supportate nell'account. IAM Access Analyzer genera un risultato quando rileva una dichiarazione di policy che consente a un principale esterno di accedere a una risorsa del tuo account.

In IAM Access Analyzer, solo l'account amministratore può visualizzare i risultati degli analizzatori che si applicano a un'organizzazione. Per gli analizzatori di organizzazioni, il campo `AwsAccountId` ASFF riflette l'ID dell'account amministratore. Sotto`ProductFields`, il `ResourceOwnerAccount` campo indica l'account in cui è stato scoperto il risultato. Se abiliti gli analizzatori singolarmente per ogni account, Security Hub CSPM genera più risultati, uno che identifica l'ID dell'account amministratore e uno che identifica l'ID dell'account della risorsa. 

Per ulteriori informazioni, consulta [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) nella *IAM User Guide*.

### Amazon Inspector (invia i risultati)
<a name="integration-amazon-inspector"></a>

Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente i carichi di lavoro alla ricerca AWS di eventuali vulnerabilità. Amazon Inspector rileva e analizza automaticamente le istanze e le immagini dei container di Amazon EC2 che si trovano nell'Amazon Elastic Container Registry. La scansione cerca le vulnerabilità del software e l'esposizione involontaria della rete.

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. Amazon Inspector inizia immediatamente a inviare tutti i risultati generati a Security Hub CSPM.

Per ulteriori informazioni sull'integrazione, consulta [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) nella *Amazon Inspector* User Guide.

Security Hub CSPM può anche ricevere risultati da Amazon Inspector Classic. Amazon Inspector Classic invia i risultati al CSPM di Security Hub generati tramite esecuzioni di valutazione per tutti i pacchetti di regole supportati.

Per ulteriori informazioni sull'integrazione, consulta [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) nella *Amazon Inspector* Classic User Guide.

I risultati di Amazon Inspector e Amazon Inspector Classic utilizzano lo stesso ARN del prodotto. I risultati di Amazon Inspector riportano la seguente voce: `ProductFields`

```
"aws/inspector/ProductVersion": "2",
```

**Nota**  
 I risultati di sicurezza generati da [Amazon Inspector Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) non sono disponibili per questa integrazione. Tuttavia, puoi accedere a questi risultati particolari nella console Amazon Inspector e tramite l'API [Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html). 

### AWS IoT Device Defender (Invia i risultati)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender è un servizio di sicurezza che verifica la configurazione dei dispositivi IoT, monitora i dispositivi connessi per rilevare comportamenti anomali e aiuta a mitigare i rischi per la sicurezza.

Dopo aver abilitato entrambi AWS IoT Device Defender e Security Hub CSPM, visita la [pagina Integrazioni della console CSPM di Security Hub](https://console.aws.amazon.com/securityhub/home#/integrations) e scegli **Accetta risultati** per Audit, Detect o entrambi. AWS IoT Device Defender Audit and Detect inizia a inviare tutti i risultati al Security Hub CSPM.

AWS IoT Device Defender Audit invia i riepiloghi dei controlli a Security Hub CSPM, che contengono informazioni generali per un tipo di controllo e un'attività di controllo specifici. AWS IoT Device Defender Detect invia i risultati delle violazioni per l'apprendimento automatico (ML), i comportamenti statici e statici al Security Hub CSPM. Audit invia anche gli aggiornamenti dei risultati a Security Hub CSPM.

Per ulteriori informazioni su questa integrazione, consulta [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) nella *AWS IoT Developer* Guide.

### Amazon Macie (invia risultati)
<a name="integration-amazon-macie"></a>

Amazon Macie è un servizio di sicurezza dei dati che rileva dati sensibili utilizzando machine learning e la corrispondenza del modello, fornisce visibilità sui rischi legati alla sicurezza dei dati e consente una protezione automatizzata da tali rischi. Una scoperta di Macie può indicare l'esistenza di una potenziale violazione delle policy o di dati sensibili nel tuo patrimonio di dati Amazon S3.

Dopo aver abilitato Security Hub CSPM, Macie inizia automaticamente a inviare i risultati delle policy a Security Hub CSPM. Puoi configurare l'integrazione per inviare anche i risultati dei dati sensibili a Security Hub CSPM.

In Security Hub CSPM, il tipo di ricerca per una policy o una ricerca di dati sensibili viene modificato in un valore compatibile con ASFF. Ad esempio, il tipo di `Policy:IAMUser/S3BucketPublic` ricerca in Macie viene visualizzato come `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` in Security Hub CSPM.

Macie invia anche i risultati dei campioni generati al Security Hub CSPM. Per i risultati di esempio, il nome della risorsa interessata è `macie-sample-finding-bucket` e il valore del campo è. `Sample` `true`

Per ulteriori informazioni, consulta la sezione [Valutazione dei risultati di Macie con Security Hub nella Guida](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) per l'utente di *Amazon Macie*.

### Amazon Route 53 Resolver Firewall DNS (invia risultati)
<a name="integration-amazon-r53rdnsfirewall"></a>

Con Amazon Route 53 Resolver DNS Firewall, puoi filtrare e regolare il traffico DNS in uscita per il tuo cloud privato virtuale (VPC). Puoi farlo creando raccolte riutilizzabili di regole di filtraggio nei gruppi di regole del firewall DNS, associando i gruppi di regole al tuo VPC e quindi monitorando l'attività nei log e nelle metriche del firewall DNS. In base all'attività, puoi modificare il comportamento del firewall DNS. DNS Firewall è una funzionalità di Route 53 Resolver.

Route 53 Resolver DNS Firewall può inviare diversi tipi di risultati al Security Hub CSPM:
+ Risultati relativi alle query bloccate o inviate avvisi per i domini associati agli elenchi di domini AWS gestiti, che sono elenchi di domini che gestisce. AWS 
+ Risultati relativi alle query bloccate o inviate avvisi per i domini associati a un elenco di domini personalizzato definito dall'utente.
+ Risultati relativi alle query bloccate o segnalate da DNS Firewall Advanced, una funzionalità di Route 53 Resolver in grado di rilevare le query associate a minacce DNS avanzate come Domain Generation Algorithms () e DNS Tunneling. DGAs

Dopo aver abilitato Security Hub CSPM e Route 53 Resolver DNS Firewall, DNS Firewall inizia automaticamente a inviare i risultati per AWS Managed Domain Lists e DNS Firewall Advanced a Security Hub CSPM. Per inviare anche i risultati per un elenco di domini personalizzato a Security Hub CSPM, abilita manualmente l'integrazione in Security Hub CSPM.

In Security Hub CSPM, tutti i risultati di Route 53 Resolver DNS Firewall hanno il seguente tipo:. `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`

Per ulteriori informazioni, consulta [Invio dei risultati da Route 53 Resolver DNS Firewall a Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) nella *Amazon Route 53* Developer Guide.

### AWS Systems Manager Patch Manager (invia i risultati)
<a name="patch-manager"></a>

AWS Systems Manager Patch Manager invia i risultati a Security Hub CSPM quando le istanze della flotta di un cliente non sono conformi allo standard di conformità delle patch.

Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo.

Dopo aver abilitato Security Hub CSPM, questa integrazione viene attivata automaticamente. Systems Manager Patch Manager inizia immediatamente a inviare i risultati al Security Hub CSPM.

Per ulteriori informazioni sull'utilizzo di Patch Manager, vedere [AWS Systems Manager Patch Manager nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) per l'*AWS Systems Manager utente*.

## AWS servizi che ricevono risultati da Security Hub CSPM
<a name="integrations-internal-receive"></a>

I seguenti AWS servizi sono integrati con Security Hub CSPM e ricevono i risultati da Security Hub CSPM. Dove indicato, il servizio integrato può anche aggiornare i risultati. In questo caso, la ricerca degli aggiornamenti apportati nel servizio integrato si rifletterà anche in Security Hub CSPM.

### AWS Audit Manager (Riceve i risultati)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager riceve i risultati dal Security Hub CSPM. Questi risultati aiutano gli utenti di Audit Manager a prepararsi per gli audit.

Per ulteriori informazioni su Audit Manager, consulta la [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html).AWS I [controlli CSPM di Security Hub supportati da AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html) elencano i controlli per i quali Security Hub CSPM invia i risultati all'Audit Manager.

### Amazon Q Developer nelle applicazioni di chat (riceve i risultati)
<a name="integration-chatbot"></a>

Amazon Q Developer nelle applicazioni di chat è un agente interattivo che ti aiuta a monitorare e interagire con AWS le tue risorse nei canali Slack e nelle chat room di Amazon Chime.

Amazon Q Developer nelle applicazioni di chat riceve i risultati dal Security Hub CSPM.

Per ulteriori informazioni sull'integrazione di Amazon Q Developer nelle applicazioni di chat con Security Hub CSPM, consulta la panoramica sull'[integrazione CSPM di Security Hub nella Amazon Q Developer in](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) *chat* application Administrator Guide.

### Amazon Detective (riceve i risultati)
<a name="integration-amazon-detective"></a>

Detective raccoglie automaticamente i dati di registro dalle tue AWS risorse e utilizza l'apprendimento automatico, l'analisi statistica e la teoria dei grafi per aiutarti a visualizzare e condurre indagini di sicurezza più rapide ed efficienti.

L'integrazione CSPM di Security Hub con Detective ti consente di passare dai risultati di GuardDuty Amazon in Security Hub CSPM a Detective. Puoi quindi utilizzare gli strumenti e le visualizzazioni del Detective per indagare su di essi. L'integrazione non richiede alcuna configurazione aggiuntiva in Security Hub CSPM o Detective.

Per i risultati ricevuti da altri Servizi AWS, il pannello dei dettagli dei risultati sulla console CSPM di Security Hub include una sottosezione **Investigate in Detective**. Quella sottosezione contiene un collegamento a Detective dove puoi approfondire il problema di sicurezza segnalato dalla scoperta. Puoi anche creare un grafico comportamentale in Detective basato sui risultati del CSPM di Security Hub per condurre indagini più efficaci. Per ulteriori informazioni, consulta [i risultati AWS di sicurezza](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) nell'*Amazon Detective Administration Guide*.

Se l'aggregazione tra regioni è abilitata, quando si esegue il pivot dalla regione di aggregazione, Detective si apre nella regione in cui ha avuto origine il risultato.

Se un collegamento non funziona, per consigli sulla risoluzione dei problemi, consulta la sezione relativa alla [risoluzione dei problemi del pivot](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).

### Amazon Security Lake (riceve i risultati)
<a name="integration-security-lake"></a>

Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da fonti cloud, locali e personalizzate in un data lake archiviato nel tuo account. Gli abbonati possono utilizzare i dati di Security Lake per casi d'uso investigativi e di analisi.

Per attivare questa integrazione, è necessario abilitare entrambi i servizi e aggiungere Security Hub CSPM come origine nella console di Security Lake, nell'API Security Lake o. AWS CLI Una volta completati questi passaggi, Security Hub CSPM inizia a inviare tutti i risultati a Security Lake.

Security Lake normalizza automaticamente i risultati CSPM di Security Hub e li converte in uno schema open source standardizzato chiamato Open Cybersecurity Schema Framework (OCSF). In Security Lake, puoi aggiungere uno o più abbonati per utilizzare i risultati del Security Hub CSPM.

Per ulteriori informazioni su questa integrazione, comprese le istruzioni sull'aggiunta di Security Hub CSPM come origine e sulla creazione di abbonati, consulta [Integration with AWS Security Hub CSPM nella *Amazon* Security](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) Lake User Guide.

### AWS Systems Manager Explorer e OpsCenter (riceve e aggiorna i risultati)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Esplora e OpsCenter ricevi i risultati da Security Hub CSPM e aggiorna tali risultati in Security Hub CSPM.

Explorer offre una dashboard personalizzabile, che fornisce approfondimenti e analisi chiave sullo stato operativo e sulle prestazioni del tuo ambiente. AWS 

OpsCenter offre una posizione centrale per visualizzare, esaminare e risolvere gli elementi di lavoro operativi.

Per ulteriori informazioni su Explorer e OpsCenter, vedere [Gestione delle operazioni](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) nella *Guida AWS Systems Manager per l'utente*.

### AWS Trusted Advisor (Riceve i risultati)
<a name="integration-trusted-advisor"></a>

Trusted Advisor si basa sulle migliori pratiche apprese servendo centinaia di migliaia di AWS clienti. Trusted Advisor ispeziona l' AWS ambiente e quindi formula raccomandazioni quando esistono opportunità per risparmiare denaro, migliorare la disponibilità e le prestazioni del sistema o contribuire a colmare le lacune di sicurezza.

Quando abiliti entrambi Trusted Advisor e Security Hub CSPM, l'integrazione viene aggiornata automaticamente.

Security Hub CSPM invia i risultati dei suoi controlli sulle migliori pratiche di sicurezza AWS fondamentali a. Trusted Advisor

*Per ulteriori informazioni sull'integrazione di Security Hub CSPM con Trusted Advisor, vedere [Visualizzazione dei controlli CSPM AWS di Security Hub nella](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html) Support AWS User AWS Trusted Advisor Guide.*

# Integrazioni di prodotti di terze parti con Security Hub CSPM
<a name="securityhub-partner-providers"></a>

AWS Security Hub CSPM si integra con più prodotti partner di terze parti. Un'integrazione può eseguire una o più delle seguenti azioni:
+ Invia i risultati generati a Security Hub CSPM
+ Ricevi risultati da Security Hub CSPM
+ Aggiorna i risultati in Security Hub CSPM

Le integrazioni che inviano i risultati a Security Hub CSPM hanno un Amazon Resource Name (ARN).

Un'integrazione potrebbe non essere completamente disponibile. Regioni AWS Se un'integrazione non è supportata nella regione a cui hai attualmente effettuato l'accesso sulla console CSPM di Security Hub, non viene visualizzata nella pagina **Integrazioni** della console. Per un elenco delle integrazioni disponibili nelle regioni della Cina e AWS GovCloud (US) Regions, consulta[Disponibilità di integrazioni per regione](securityhub-regions.md#securityhub-regions-integration-support).

Se disponi di una soluzione di sicurezza e sei interessato a diventare un partner CSPM di Security Hub, invia un'e-mail a securityhub-partners@amazon.com. Per ulteriori informazioni, consulta la [Partner Integration Guide](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).

## Panoramica delle integrazioni di terze parti con Security Hub CSPM
<a name="integrations-third-party-summary"></a>

La tabella seguente fornisce una panoramica delle integrazioni di terze parti che possono inviare risultati a Security Hub CSPM o ricevere risultati da Security Hub CSPM.


| Integrazione | Direzione | ARN (se applicabile) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  Invia i risultati  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security— Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  Invia i risultati  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  Invia i risultati  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  Invia i risultati  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  Riceve e aggiorna i risultati  |  Non applicabile  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  Riceve e aggiorna i risultati  |  Non applicabile  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  Riceve i risultati  |  Non applicabile  | 
|  [Dynatrace](#integration-dynatrace)  |  Riceve i risultati  |  Non applicabile  | 
|  [Elastic](#integration-elastic)  |  Riceve i risultati  |  Non applicabile  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  Riceve i risultati  |  Non applicabile  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  Riceve i risultati  | Non applicabile | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  Riceve i risultati  |  Non applicabile  | 
|  [MetricStream](#integration-metricstream)  |  Riceve i risultati  |  Non applicabile  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  Riceve i risultati  |  Non applicabile  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  Riceve i risultati  |  Non applicabile  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  Riceve i risultati  |  Non applicabile  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  Riceve i risultati  |  Non applicabile  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  Riceve i risultati  |  Non applicabile  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  Riceve i risultati  |  Non applicabile  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  Riceve i risultati  |  Non applicabile  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  Riceve i risultati  |  Non applicabile  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  Riceve e aggiorna i risultati  |  Non applicabile  | 
|  [Slack – Slack](#integration-slack)  |  Riceve i risultati  |  Non applicabile  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  Riceve i risultati  | Non applicabile | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  Riceve i risultati  |  Non applicabile  | 
|  [ThreatModeler](#integration-threatmodeler)  |  Riceve i risultati  |  Non applicabile  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  Riceve i risultati  |  Non applicabile  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  Invia e riceve i risultati  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  Invia e riceve i risultati  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  Invia e riceve i risultati  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  Invia e riceve i risultati  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  Invia e riceve i risultati  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Integrazioni di terze parti che inviano i risultati a Security Hub CSPM
<a name="integrations-third-party-send"></a>

Le seguenti integrazioni di prodotti di partner di terze parti possono inviare i risultati a Security Hub CSPM. Security Hub CSPM trasforma i risultati nel [AWS Security](securityhub-findings-format.md) Finding Format.

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**Tipo di integrazione**: Invia

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESecfornisce servizi di rilevamento gestiti sia per ambienti locali che per sistemi. AWS La loro integrazione con Security Hub CSPM consente la visibilità su minacce come malware, escalation dei privilegi, movimenti laterali e segmentazione impropria della rete.

[Link al prodotto](https://3coresec.com)

[Documentazione dei partner](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

Ottieni il giusto livello di copertura: visibilità delle vulnerabilità e degli asset, rilevamento delle minacce e gestione degli incidenti e opzioni assegnate agli analisti SOC. AWS WAF

[Link al prodotto](https://www.alertlogic.com/solutions/platform/aws-security/)

[Documentazione dei partner](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP)offre la sicurezza completa del ciclo di vita per le applicazioni basate su container e serverless, dalla pipeline agli ambienti di produzione in fase di esecuzione CI/CD .

[Link al prodotto](https://blog.aquasec.com/aqua-aws-security-hub)

[Documentazione dei partner](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-benchè uno strumento open source che esegue il benchmark Kubernetes Center for Internet Security (CIS) nel tuo ambiente.

[Link al prodotto](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[documentazione per i partner](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywhereoffre sicurezza e conformità gestite per AWS.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[Documentazione dei partner](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

AttackIQ Platformemula un comportamento antagonistico reale in linea con il MITRE ATT&CK Framework per aiutare a convalidare e migliorare il livello di sicurezza generale.

[Link al prodotto](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[Documentazione dei partner](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

Barracuda Cloud Security Sentryaiuta le organizzazioni a rimanere sicure durante la creazione di applicazioni e lo spostamento dei carichi di lavoro nel cloud pubblico.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[Link al prodotto](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**Tipo di integrazione:** Invia

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

BigID Enterprise Privacy Management PlatformAiuta le aziende a gestire e proteggere i dati sensibili (PII) su tutti i loro sistemi.

[Link al prodotto](https://github.com/bigexchange/aws-security-hub)

[Documentazione dei partner](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon— Blue Hexagon per AWS
<a name="integration-blue-hexagon-for-aws"></a>

**Tipo di integrazione:** Invia

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagonè una piattaforma di rilevamento delle minacce in tempo reale. Utilizza i principi del deep learning per rilevare minacce note e sconosciute, inclusi malware e anomalie di rete.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[Documentazione dei partner](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuardestende facilmente la sicurezza completa per la prevenzione delle minacce proteggendo al AWS contempo le risorse nel cloud.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentazione dei partner](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

Una piattaforma SaaS che offre sicurezza di rete cloud verificabile, protezione IAM avanzata e conformità e governance complete.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentazione dei partner](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDomeaiuta le organizzazioni a proteggere i propri sistemi cyber-fisici attraverso l'Extended Internet of Things (XIoT) all'interno di ambienti industriali (OT), sanitari (IoMT) e aziendali (IoT).

[Link al prodotto](https://claroty.com/)

[Documentazione dei partner](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security— Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**Tipo di integrazione: invio**

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

Cloud Storage Securityfornisce una scansione antimalware e antivirus nativa per il cloud per oggetti Amazon S3.

Antivirus for Amazon S3 offre scansioni pianificate e in tempo reale di oggetti e file in Amazon S3 alla ricerca di malware e minacce. Fornisce visibilità e risoluzione di problemi e file infetti.

[Link al prodotto](https://cloudstoragesec.com/)

[Documentazione dei partner](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assessè uno strumento IAST che offre il rilevamento delle vulnerabilità in tempo reale nelle app Web e nei APIs microservizi. Contrast Assesssi integra con Security Hub CSPM per contribuire a fornire visibilità e risposta centralizzate per tutti i carichi di lavoro.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[Documentazione dei partner](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

Il sensore CrowdStrike Falcon unico e leggero unisce l'antivirus di nuova generazione, il rilevamento e la risposta degli endpoint e la caccia gestita 24 ore su 24, 7 giorni su 7 attraverso il cloud.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[Documentazione dei partner](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

Privileged Threat Analyticsraccoglie, rileva, avvisa e rispondi alle attività e ai comportamenti ad alto rischio degli account privilegiati per contenere gli attacchi in corso.

[Link al prodotto](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[Documentazione dei partner](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theoremanalizza continuamente le applicazioni Web e le risorse cloud alla ricerca di falle di sicurezza e lacune nella privacy dei dati per prevenire le violazioni dei dati. APIs AppSec 

[Link al prodotto](https://www.datatheorem.com/partners/aws/)

[documentazione per i partner](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drataè una piattaforma di automazione della conformità che consente di raggiungere e mantenere la conformità con vari framework SOC2, come ISO e GDPR. L'integrazione tra Security Hub Drata e CSPM ti aiuta a centralizzare i risultati di sicurezza in un'unica posizione.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[Documentazione dei partner](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

Forcepoint CASBconsente di scoprire l'uso delle applicazioni cloud, analizzare i rischi e applicare controlli appropriati per SaaS e applicazioni personalizzate.

[Link al prodotto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentazione dei partner](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**Tipo di integrazione:** invio

ARN del prodotto: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

Forcepoint Cloud Security Gatewayè un servizio di sicurezza cloud convergente che offre visibilità, controllo e protezione dalle minacce per utenti e dati, ovunque si trovino.

[Link al prodotto](https://www.forcepoint.com/product/cloud-security-gateway)

[Documentazione dei partner](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

Forcepoint DLPaffronta il rischio incentrato sull'uomo con visibilità e controllo ovunque lavorino i dipendenti e ovunque risiedano i dati.

[Link al prodotto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[documentazione per i partner](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFWconsente di connettere AWS l'ambiente alla rete aziendale con la scalabilità, la protezione e le informazioni necessarie per gestire la rete e rispondere alle minacce.

[Link al prodotto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentazione dei partner](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fugueè una piattaforma cloud-native scalabile e senza agente che automatizza la convalida continua degli ambienti di infrastructure-as-code runtime cloud utilizzando le stesse policy.

[Link al prodotto](https://www.fugue.co/aws-security-hub-integration)

[Documentazione dei partner](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

Guardicore Centrafornisce la visualizzazione del flusso, la microsegmentazione e il rilevamento delle violazioni per i carichi di lavoro nei data center e nei cloud moderni.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[Documentazione dei partner](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

La HackerOne piattaforma collabora con la comunità globale di hacker per scoprire i problemi di sicurezza più rilevanti. Vulnerability Intelligenceconsente all'organizzazione di andare oltre la scansione automatica. Condivide le vulnerabilità che gli hacker HackerOne etici hanno convalidato e fornito misure per riprodurre.

[AWS link al marketplace](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[documentazione per i partner](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

JFrog Xrayè uno strumento universale di analisi della composizione del software (SCA) per la sicurezza delle applicazioni che analizza continuamente i file binari per verificare la conformità delle licenze e le vulnerabilità di sicurezza, in modo da poter gestire una catena di fornitura software sicura.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[Documentazione dei partner](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

Juniper Networks'vSRx Virtual Next Generation Firewall offre un firewall virtuale completo basato sul cloud con sicurezza avanzata, SD-WAN sicura, rete robusta e automazione integrata.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[Documentazione dei partner](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[Link al prodotto](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

k9 Securityti avvisa quando vengono apportate importanti modifiche all'accesso nel tuo AWS Identity and Access Management account. Conk9 Security, puoi comprendere l'accesso che gli utenti e i ruoli IAM hanno ai dati critici Servizi AWS e ai tuoi dati.

k9 Securityè progettato per la distribuzione continua e consente di rendere operativo IAM con audit di accesso attuabili e una semplice automazione delle politiche per e Terraform. AWS CDK 

[Link al prodotto](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[Documentazione dei partner](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Laceworkè la piattaforma di sicurezza basata sui dati per il cloud. La Lacework Cloud Security Platform automatizza la sicurezza del cloud su larga scala in modo da poter innovare con velocità e sicurezza.

[Link al prodotto](https://www.lacework.com/platform/aws/)

[Documentazione dei partner](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP)offre Cloud Security Posture Management (CSPM) e Cloud Workload Protection Platform (CWPP) per il tuo ambiente. AWS 

[Link al prodotto](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[documentazione per i partner](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

NETSCOUT Cyber Investigatorè una piattaforma di analisi forense, indagine sui rischi e analisi forense delle minacce di rete a livello aziendale che aiuta a ridurre l'impatto delle minacce informatiche sulle aziende.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[documentazione per i partner](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

Orca Cloud Security PlatformIdentifica, assegna priorità e risolve i rischi e i problemi di conformità nell'intero ambiente cloud. Orca’sLa piattaforma agentless first e basata sull'intelligenza artificiale offre una copertura completa rilevando vulnerabilità, configurazioni errate, movimenti laterali, rischi legati alle API, dati sensibili, eventi e comportamenti anomali e identità eccessivamente permissive.

Orcasi integra con Security Hub CSPM per portare la telemetria di sicurezza cloud approfondita in Security Hub CSPM. Orca, utilizzando la sua SideScanning tecnologia, dà priorità ai rischi nell'infrastruttura cloud, nei carichi di lavoro, nelle applicazioni, nei dati, nelle identità e altro ancora. APIs

[Link al prodotto](https://orca.security/partners/technology/amazon-web-services-aws/)

[Documentazione dei partner](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Computeè una piattaforma di sicurezza informatica nativa per il cloud che protegge VMs contenitori e piattaforme serverless.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentazione dei partner](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

Protegge la tua AWS implementazione con analisi della sicurezza nel cloud, rilevamento avanzato delle minacce e monitoraggio della conformità.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentazione dei partner](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

Plerionè una piattaforma di sicurezza cloud con un approccio unico basato sulle minacce e basato sul rischio che offre azioni preventive, investigative e correttive per tutti i carichi di lavoro. L'integrazione tra Security Hub Plerion e CSPM consente ai clienti di centralizzare e agire in base ai propri risultati di sicurezza in un unico posto.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[Documentazione dei partner](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowlerè uno strumento di sicurezza open source per eseguire AWS controlli relativi alle migliori pratiche di sicurezza, al rafforzamento e al monitoraggio continuo.

[Link al prodotto](https://github.com/prowler-cloud/prowler)

[Documentazione dei partner](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

Qualys Vulnerability Management (VM)analizza e identifica continuamente le vulnerabilità, proteggendo le tue risorse.

[Link al prodotto](https://www.qualys.com/public-cloud/#aws)

[Documentazione dei partner](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

Rapid7 InsightVMfornisce la gestione delle vulnerabilità per gli ambienti moderni, consentendoti di individuare, assegnare priorità e correggere in modo efficiente le vulnerabilità.

[Link al prodotto](https://www.rapid7.com/products/insightvm/)

[Documentazione dei partner](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

SentinelOneè una piattaforma autonoma di rilevamento e risposta estesa (XDR) che comprende prevenzione, rilevamento, risposta e caccia basati sull'intelligenza artificiale su endpoint, container, carichi di lavoro cloud e dispositivi IoT.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[Link al prodotto](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**Tipo di integrazione:** Invia

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

Snykfornisce una piattaforma di sicurezza che analizza i componenti delle app alla ricerca di rischi per la sicurezza nei carichi di lavoro in esecuzione. AWS Questi rischi vengono inviati a Security Hub CSPM come risultati, aiutando gli sviluppatori e i team di sicurezza a visualizzarli e assegnare loro priorità insieme al resto dei risultati di sicurezza. AWS 

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[Documentazione dei partner](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

Sonrai Digmonitora e corregge le configurazioni errate del cloud e le violazioni delle policy, in modo da poter migliorare il livello di sicurezza e conformità.

[Link al prodotto](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[Documentazione dei partner](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protectiondifende le applicazioni e i dati critici alla base dell'organizzazione, utilizzando tecniche complete defense-in-depth.

[Link al prodotto](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**Tipo di integrazione: invio**

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

StackRoxaiuta le aziende a proteggere le implementazioni di container e Kubernetes su larga scala applicando le politiche di conformità e sicurezza durante l'intero ciclo di vita dei container: creazione, implementazione ed esecuzione.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[Documentazione dei partner](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

Sumo Logicè una piattaforma di analisi dei dati automatici sicura che consente ai team operativi di sviluppo e sicurezza di creare, eseguire e proteggere AWS le proprie applicazioni.

[Link al prodotto](https://www.sumologic.com/application/aws-security-hub/)

[documentazione per i partner](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

Cloud Workload Protectionfornisce una protezione completa per le tue istanze Amazon EC2 con antimalware, prevenzione delle intrusioni e monitoraggio dell'integrità dei file.

[Link al prodotto](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[Documentazione dei partner](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

Identifica, analizza e definisce la priorità delle vulnerabilità. Gestito nel cloud.

[Link al prodotto](https://www.tenable.com/)

[Documentazione dei partner](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

Trend Micro Cloud Onefornisce le informazioni di sicurezza giuste ai team nel momento e nel luogo giusti. Questa integrazione invia i risultati di sicurezza a Security Hub CSPM in tempo reale, migliorando la visibilità AWS delle risorse e dei dettagli Trend Micro Cloud One degli eventi in Security Hub CSPM.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[Documentazione dei partner](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

Vectrasta trasformando la sicurezza informatica applicando l'intelligenza artificiale avanzata per rilevare e rispondere agli aggressori informatici nascosti prima che possano rubare o causare danni.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[Documentazione dei partner](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**Tipo di integrazione:** invio

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wizanalizza continuamente configurazioni, vulnerabilità, reti, impostazioni IAM, segreti e altro ancora tra utenti e carichi di lavoro per scoprire problemi critici che rappresentano un rischio effettivo. Account AWS Integra Wiz con Security Hub CSPM per visualizzare e rispondere ai problemi rilevati da Wiz dalla console CSPM di Security Hub.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[Documentazione dei partner](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Integrazioni di terze parti che ricevono risultati da Security Hub CSPM
<a name="integrations-third-party-receive"></a>

Le seguenti integrazioni di prodotti di partner di terze parti possono ricevere i risultati dal Security Hub CSPM. Dove indicato, il prodotto potrebbe anche aggiornare i risultati. In questo caso, gli aggiornamenti apportati ai risultati del prodotto partner si riflettono anche in Security Hub CSPM.

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**Tipo di integrazione:** ricezione e aggiornamento

Il AWS Service Management Connector for Jira invia i risultati dal Security Hub CSPM a. Jira Jirai problemi vengono creati sulla base dei risultati. Quando i Jira problemi vengono aggiornati, i risultati corrispondenti vengono aggiornati in Security Hub CSPM.

L'integrazione supporta solo Jira Server e Jira Data Center.

Per una panoramica dell'integrazione e di come funziona, guarda il video [AWS Security Hub CSPM — Integrazione bidirezionale](https://www.youtube.com/watch?v=uEKwu0M8S3M) con. Atlassian Jira Service Management

[Link al prodotto](https://www.atlassian.com/software/jira/service-management)

[Documentazione dei partner](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**Tipo di integrazione:** ricezione e aggiornamento

Jira Service Management Cloudè il componente cloud di Jira Service Management. 

Il AWS Service Management Connector for Jira invia i risultati dal Security Hub CSPM a. Jira I risultati innescano la creazione di problemi in. Jira Service Management Cloud Quando aggiorni questi problemi inJira Service Management Cloud, i risultati corrispondenti vengono aggiornati anche in Security Hub CSPM.

[Link al prodotto](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[Documentazione dei partner](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**Tipo di integrazione:** ricezione

Opsgenieè una moderna soluzione di gestione degli incidenti per la gestione di servizi sempre attivi, che consente ai team di sviluppo e operativi di pianificare le interruzioni del servizio e mantenere il controllo durante gli incidenti.

L'integrazione con Security Hub CSPM garantisce che gli incidenti di sicurezza mission critical vengano indirizzati ai team appropriati per una risoluzione immediata.

[Link al prodotto](https://www.atlassian.com/software/opsgenie)

[Documentazione dei partner](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**Tipo di integrazione:** ricezione

L'Dynatraceintegrazione con Security Hub CSPM aiuta a unificare, visualizzare e automatizzare i risultati di sicurezza tra strumenti e ambienti. L'aggiunta Dynatrace di un contesto di runtime ai risultati di sicurezza consente una definizione delle priorità più intelligente, aiuta a ridurre il rumore causato dagli avvisi e consente ai DevSecOps team di porre rimedio in modo efficiente ai problemi critici che riguardano gli ambienti e le applicazioni di produzione.

[Link al prodotto](https://www.dynatrace.com/solutions/application-security/)

[Documentazione dei partner](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**Tipo di integrazione:** ricezione

Elasticcrea soluzioni basate sulla ricerca per la sicurezza, l'osservabilità e la ricerca. Grazie all'integrazione con Security Hub CSPM, Elastic acquisisce i risultati e le informazioni da Security Hub CSPM in modo programmatico, li normalizza per la correlazione e l'analisi e presenta dashboard e rilevamenti unificati, consentendo un triage e un'indagine più rapidi senza l'impiego di agenti. Elastic Security

[Link al prodotto](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[Documentazione dei partner](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**Tipo di integrazione:** ricezione

FortiCNPè un prodotto Cloud Native Protection che aggrega i risultati sulla sicurezza in informazioni fruibili e dà priorità alle informazioni sulla sicurezza in base al punteggio di rischio per ridurre l'affaticamento degli avvisi e accelerare la correzione.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[Documentazione dei partner](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**Tipo di integrazione:** ricezione

IBM QRadarSIEM offre ai team di sicurezza la capacità di rilevare, assegnare priorità, indagare e rispondere alle minacce in modo rapido e preciso.

[Link al prodotto](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[Documentazione dei partner](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**Tipo di integrazione:** ricezione

Logz.ioè un fornitore Cloud SIEM che fornisce una correlazione avanzata di dati di log ed eventi per aiutare i team di sicurezza a rilevare, analizzare e rispondere alle minacce alla sicurezza in tempo reale.

[Link al prodotto](https://logz.io/solutions/cloud-monitoring-aws/)

[Documentazione dei partner](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**Tipo di integrazione:** ricezione

MetricStream CyberGRCti aiuta a gestire, misurare e mitigare i rischi di sicurezza informatica. Ricevendo i risultati del Security Hub CSPM, CyberGRC offre una maggiore visibilità su questi rischi, in modo da poter dare priorità agli investimenti in sicurezza informatica e rispettare le politiche IT.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[Link al prodotto](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**Tipo di integrazione:** Ricevere

ArcSightaccelera il rilevamento e la risposta efficaci alle minacce in tempo reale, integrando la correlazione degli eventi e l'analisi supervisionata e non supervisionata con l'automazione e l'orchestrazione della risposta.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[Documentazione dei partner](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**Tipo di integrazione:** ricezione

New Relic Vulnerability Managementriceve i risultati di sicurezza da Security Hub CSPM, in modo da poter ottenere una visione centralizzata della sicurezza insieme alla telemetria delle prestazioni nel contesto dell'intero stack.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[Documentazione dei partner](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**Tipo di integrazione:** ricezione

La piattaforma di gestione delle operazioni PagerDuty digitali consente ai team di mitigare in modo proattivo i problemi che hanno un impatto sui clienti trasformando automaticamente qualsiasi segnale in informazioni e azioni corrette.

AWS gli utenti possono utilizzare il PagerDuty set di AWS integrazioni per scalare i propri ambienti ibridi con sicurezza. AWS 

Se abbinato agli avvisi di sicurezza aggregati e organizzati di Security Hub CSPM, PagerDuty consente ai team di automatizzare il processo di risposta alle minacce e di impostare rapidamente azioni personalizzate per prevenire potenziali problemi.

PagerDutygli utenti che stanno intraprendendo un progetto di migrazione al cloud possono agire rapidamente, riducendo al contempo l'impatto dei problemi che si verificano durante il ciclo di vita della migrazione.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[Documentazione dei partner](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**Tipo di integrazione:** ricezione

Cortex XSOARè una piattaforma SOAR (Security Orchestration, Automation and Response) che si integra con l'intero stack di prodotti di sicurezza per accelerare la risposta agli incidenti e le operazioni di sicurezza.

[Link al prodotto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentazione dei partner](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**Tipo di integrazione:** ricezione

Palo Alto VM-Seriesl'integrazione con Security Hub CSPM raccoglie informazioni sulle minacce e le invia al firewall di VM-Series nuova generazione come aggiornamento automatico della politica di sicurezza che blocca le attività dannose degli indirizzi IP.

[Link al prodotto](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[documentazione per i partner](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**Tipo di integrazione:** ricezione

Rackspace Technology fornisce servizi di sicurezza gestiti oltre a prodotti di AWS sicurezza nativi per il monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni l'anno tramite Rackspace SOC, l'analisi avanzata e la risoluzione delle minacce.

[Link al prodotto](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**Tipo** di integrazione: Ricevere

Rapid7 InsightConnectè una soluzione di orchestrazione e automazione della sicurezza che consente al team di ottimizzare le operazioni SOC con poco o nessun codice.

[Link al prodotto](https://www.rapid7.com/platform/)

[Documentazione dei partner](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**Tipo di integrazione:** ricezione

RSA ArcherLa gestione dei rischi IT e di sicurezza consente di determinare quali risorse sono fondamentali per l'azienda, stabilire e comunicare politiche e standard di sicurezza, rilevare e rispondere agli attacchi, identificare e correggere le carenze di sicurezza e stabilire chiare best practice di gestione del rischio IT.

[Link al prodotto](https://community.rsa.com/docs/DOC-111898)

[Documentazione dei partner](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**Tipo di integrazione:** ricezione e aggiornamento

L'ServiceNowintegrazione con Security Hub CSPM consente di visualizzare i risultati di sicurezza di Security Hub CSPM all'interno. ServiceNow ITSM Puoi anche configurare ServiceNow per creare automaticamente un incidente o un problema quando riceve un risultato dal Security Hub CSPM.

Qualsiasi aggiornamento a questi incidenti e problemi comporta l'aggiornamento dei risultati in Security Hub CSPM.

Per una panoramica dell'integrazione e di come funziona, guarda il video [AWS Security Hub CSPM - Integrazione bidirezionale](https://www.youtube.com/watch?v=OYTi0sjEggE) con.  ServiceNow ITSM

[Link al prodotto](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[Documentazione dei partner](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**Tipo di integrazione:** ricezione

Slackè un livello dello stack tecnologico aziendale che riunisce persone, dati e applicazioni. Si tratta di un unico luogo in cui le persone possono collaborare in modo efficiente, trovare informazioni importanti e accedere a centinaia di migliaia di applicazioni e servizi critici per svolgere al meglio il loro lavoro.

[Link al prodotto](https://github.com/aws-samples/aws-securityhub-to-slack)

[documentazione per i partner](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**Tipo di integrazione:** ricezione

Splunkutilizza Amazon CloudWatch Events come consumatore dei risultati CSPM di Security Hub. Invia i tuoi dati a Splunk per analisi di sicurezza avanzate e SIEM.

[Link al prodotto](https://splunkbase.splunk.com/app/5767)

[Documentazione dei partner](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**Tipo di integrazione:** ricezione

Con l'Splunk Phantomapplicazione per AWS Security Hub CSPM, i risultati vengono inviati Phantom per l'arricchimento automatico del contesto con informazioni aggiuntive sulla threat intelligence o per eseguire azioni di risposta automatizzate.

[Link al prodotto](https://splunkbase.splunk.com/app/5767)

[Documentazione dei partner](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**Tipo di integrazione:** ricezione

ThreatModelerè una soluzione di modellazione automatizzata delle minacce che protegge e ridimensiona il ciclo di vita del software aziendale e dello sviluppo del cloud.

[Link al prodotto](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[documentazione per i partner](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**Tipo di integrazione:** ricezione

Trellix Helixè una piattaforma operativa di sicurezza ospitata nel cloud che consente alle organizzazioni di assumere il controllo di qualsiasi incidente, dall'avviso alla risoluzione.

[Link al prodotto](https://www.trellix.com/en-us/products/helix.html)

[Documentazione dei partner](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Integrazioni di terze parti che inviano e ricevono risultati da Security Hub CSPM
<a name="integrations-third-party-send-receive"></a>

Le seguenti integrazioni di prodotti di partner di terze parti possono inviare e ricevere risultati da Security Hub CSPM.

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**Tipo di integrazione: invio** e ricezione

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

La piattaforma Caveonix basata sull'intelligenza artificiale automatizza la visibilità, la valutazione e la mitigazione nei cloud ibridi, coprendo servizi e contenitori nativi del cloud. VMs Integrato con AWS Security Hub CSPM, Caveonix unisce AWS dati e analisi avanzate per approfondire gli avvisi di sicurezza e la conformità.

[AWS Link al Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[Documentazione dei partner](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**Tipo di integrazione:** invio e ricezione

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

Cloud Custodianconsente agli utenti di essere ben gestiti nel cloud. Il semplice YAML DSL consente regole facilmente definite per consentire un'infrastruttura cloud ben gestita, sicura e ottimizzata in termini di costi.

[Link al prodotto](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[Documentazione dei partner](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**Tipo di integrazione:** invio e ricezione

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

La DisruptOps Security Operations Platform aiuta le organizzazioni a mantenere le migliori pratiche di sicurezza nel cloud attraverso l'uso di guardrail automatizzati.

[Link al prodotto](https://disruptops.com/ad/securityhub-isa/)

[Documentazione dei partner](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**Tipo di integrazione:** invio e ricezione

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

Kion(precedentemente cloudtamer.io) è una soluzione completa di governance del cloud per. AWSKionoffre alle parti interessate visibilità sulle operazioni cloud e aiuta gli utenti del cloud a gestire gli account, controllare budget e costi e garantire la conformità continua.

[Link al prodotto](https://kion.io/partners/aws)

[Documentazione dei partner](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**Tipo di integrazione:** invio e ricezione

**ARN del prodotto:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

Turbotgarantisce che la tua infrastruttura cloud sia sicura, conforme, scalabile e ottimizzata in termini di costi.

[Link al prodotto](https://turbot.com/features/)

[Documentazione dei partner](https://turbot.com/blog/2018/11/aws-security-hub/)

# Integrazione di Security Hub CSPM con prodotti personalizzati
<a name="securityhub-custom-providers"></a>

Oltre ai risultati generati da AWS servizi integrati e prodotti di terze parti, AWS Security Hub CSPM può utilizzare i risultati generati da altri prodotti di sicurezza personalizzati.

È possibile inviare questi risultati a Security Hub CSPM utilizzando il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)funzionamento dell'API CSPM di Security Hub. Puoi utilizzare la stessa operazione per aggiornare i risultati dei prodotti personalizzati che hai già inviato a Security Hub CSPM.

Quando configuri l'integrazione personalizzata, utilizza le [linee guida e le liste di controllo](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) fornite nella *Security Hub CSPM Partner* Integration Guide.

## Requisiti e consigli per integrazioni di prodotti personalizzate
<a name="securityhub-custom-providers-bfi-reqs"></a>

Prima di poter richiamare correttamente l'operazione [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)API, è necessario abilitare Security Hub CSPM.

È inoltre necessario fornire i dettagli di ricerca per il prodotto personalizzato utilizzando il. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Consulta i seguenti requisiti e consigli per le integrazioni di prodotti personalizzati:

**Impostazione dell'ARN del prodotto**  
Quando abiliti Security Hub CSPM, nel tuo account corrente viene generato un prodotto Amazon Resource Name (ARN) predefinito per Security Hub CSPM.  
Questo ARN del prodotto ha il seguente formato: `arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default`. Ad esempio, `arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`.  
Utilizza questo ARN del prodotto come il valore per l'attributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn) quando richiami l'operazione API `BatchImportFindings`.

**Impostazione dei nomi dell'azienda e dei prodotti**  
È possibile utilizzare `BatchImportFindings` per impostare un nome aziendale e un nome di prodotto preferiti per l'integrazione personalizzata che invia i risultati a Security Hub CSPM.  
I nomi specificati sostituiscono il nome dell'azienda e il nome del prodotto preconfigurati, denominati rispettivamente nome personale e nome predefinito, e vengono visualizzati nella console CSPM di Security Hub e nel codice JSON di ogni risultato. Per informazioni, consulta [BatchImportFindings per trovare fornitori](finding-update-batchimportfindings.md).

**Impostazione del risultato IDs**  
È necessario fornire, gestire e incrementare i propri risultati utilizzando IDs l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)attributo.  
Ogni nuovo risultato deve avere un ID di ricerca univoco. Se il prodotto personalizzato invia più risultati con lo stesso ID di ricerca, Security Hub CSPM elabora solo il primo risultato.

**Impostazione dell'ID account**  
È necessario specificare il proprio ID account, utilizzando l'attributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId).

**Impostazione delle date di creazione e aggiornamento**  
È necessario fornire i propri timestamp per gli attributi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) e [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt).

## Aggiornamento dei risultati da prodotti personalizzati
<a name="securityhub-custom-providers-update-findings"></a>

Oltre a inviare nuovi risultati da prodotti personalizzati, puoi anche aggiornare i risultati esistenti di prodotti personalizzati utilizzando l'operazione API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Per aggiornare i risultati esistenti, utilizza l'ID risultato esistente (tramite l'attributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)). Invia nuovamente il risultato completo con le informazioni appropriate aggiornate nella richiesta, incluso un timestamp [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) modificato.

## Esempio di integrazioni personalizzate
<a name="securityhub-custom-providers-examples"></a>

È possibile utilizzare il seguente esempio di integrazioni di prodotti personalizzati come guida per creare soluzioni personalizzate:

**Invio dei risultati delle Chef InSpec scansioni al Security Hub CSPM**  
È possibile creare un CloudFormation modello che esegua una scansione di [Chef InSpec](https://www.chef.io/products/chef-inspec/) conformità e quindi invii i risultati a Security Hub CSPM.  
Per maggiori dettagli, consulta [Monitoraggio continuo della conformità con Chef InSpecAWS Security Hub CSPM](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).

**Invio di vulnerabilità dei container rilevate da Trivy Security Hub CSPM**  
È possibile creare un CloudFormation modello da utilizzare per [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) scansionare i contenitori alla ricerca di vulnerabilità e quindi inviare tali risultati di vulnerabilità a Security Hub CSPM.  
Per maggiori dettagli, vedi [Come creare una CI/CD pipeline per la scansione delle vulnerabilità dei container con TrivyAWS Security Hub](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/) CSPM.

# Creazione e aggiornamento dei risultati in Security Hub CSPM
<a name="securityhub-findings"></a>

In AWS Security Hub CSPM, un *risultato* è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Un risultato può provenire da una delle seguenti fonti:
+ Un controllo di sicurezza per un controllo in Security Hub CSPM.
+ Un'integrazione con un'altra. Servizio AWS
+ Un'integrazione con un prodotto di terze parti.
+ Un'integrazione personalizzata.

Security Hub CSPM normalizza i risultati provenienti da tutte le fonti in una sintassi e un formato standard chiamati *AWS Security Finding* Format (ASFF). Per informazioni dettagliate su questo formato, incluse le descrizioni dei singoli campi ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Se abiliti l'aggregazione tra regioni, Security Hub CSPM aggrega automaticamente anche i risultati nuovi e aggiornati da tutte le regioni collegate a un'area di aggregazione specificata. Per ulteriori informazioni, consulta [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md).

Dopo aver creato un risultato, può essere aggiornato come segue:
+ Un provider di ricerca può utilizzare il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)funzionamento dell'API CSPM Security Hub per aggiornare le informazioni generali sul risultato. I provider di risultati possono aggiornare solo i risultati che hanno creato.
+ Un cliente può utilizzare la console CSPM di Security Hub o il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)funzionamento dell'API CSPM di Security Hub per aggiornare lo stato dell'indagine sulla scoperta. L'`BatchUpdateFindings`operazione può essere utilizzata anche da uno strumento SIEM, di ticketing, di gestione degli incidenti, SOAR o altro tipo di strumento per conto di un cliente.

Per ridurre il rumore dei risultati e semplificare il tracciamento e l'analisi dei singoli risultati, Security Hub CSPM elimina automaticamente i risultati che non sono stati aggiornati di recente. La tempistica con cui Security Hub CSPM esegue questa operazione dipende dal fatto che un risultato sia attivo o archiviato:
+ Un *risultato attivo è un risultato* il cui stato record () è. `RecordState` `ACTIVE` Security Hub CSPM archivia i risultati attivi per 90 giorni. Se un risultato attivo non viene aggiornato per 90 giorni, scade e Security Hub CSPM lo elimina definitivamente.
+ Un risultato *archiviato è un risultato* il cui stato record () è. `RecordState` `ARCHIVED` Security Hub CSPM archivia i risultati archiviati per 30 giorni. Se un risultato archiviato non viene aggiornato per 30 giorni, scade e Security Hub CSPM lo elimina definitivamente.

Per i risultati del controllo, ovvero i risultati generati da Security Hub CSPM dai controlli di sicurezza per i controlli, Security Hub CSPM determina se un risultato è scaduto in base al valore del campo del risultato. `UpdatedAt` Se questo valore risale a più di 90 giorni fa per un risultato attivo, Security Hub CSPM elimina definitivamente il risultato. Se questo valore risale a più di 30 giorni fa per un risultato archiviato, Security Hub CSPM elimina definitivamente il risultato.

Per tutti gli altri tipi di risultati, Security Hub CSPM determina se un risultato è scaduto in base ai valori per i `UpdatedAt` campi `ProcessedAt` e del risultato. Security Hub CSPM confronta i valori di questi campi e determina quale è più recente. Se il valore più recente risale a più di 90 giorni fa per un risultato attivo, Security Hub CSPM elimina definitivamente il risultato. Se il valore più recente risale a più di 30 giorni fa per un risultato archiviato, Security Hub CSPM elimina definitivamente il risultato. I provider di ricerca possono modificare il valore per il `UpdatedAt` campo di uno o più risultati utilizzando il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)funzionamento dell'API CSPM Security Hub.

Per conservare i risultati a lungo termine, puoi esportarli in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

**Topics**
+ [

# BatchImportFindings per trovare fornitori
](finding-update-batchimportfindings.md)
+ [

# BatchUpdateFindings per i clienti
](finding-update-batchupdatefindings.md)
+ [

# Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM
](securityhub-findings-viewing.md)
+ [

# Filtraggio dei risultati in Security Hub CSPM
](securityhub-findings-manage.md)
+ [

# Raggruppamento dei risultati in Security Hub CSPM
](finding-list-grouping.md)
+ [

# Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM
](findings-workflow-status.md)
+ [

# Invio dei risultati a un'azione CSPM personalizzata di Security Hub
](findings-custom-action.md)
+ [

# AWS Formato ASFF (Security Finding Format)
](securityhub-findings-format.md)

# BatchImportFindings per trovare fornitori
<a name="finding-update-batchimportfindings"></a>

I provider di ricerca possono utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione per creare nuovi risultati in AWS Security Hub CSPM. Possono utilizzare questa operazione anche per aggiornare i risultati che hanno creato. I fornitori di servizi di ricerca non possono aggiornare i risultati che non hanno creato.

I clienti SIEMs, i servizi di biglietteria, il SOAR e altri tipi di strumenti devono utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione per apportare aggiornamenti relativi all'analisi dei risultati ottenuti dalla ricerca dei fornitori. Per ulteriori informazioni, consulta [BatchUpdateFindings per i clienti](finding-update-batchupdatefindings.md).

Quando Security Hub CSPM riceve una `BatchImportFindings` richiesta per creare o aggiornare un risultato, genera automaticamente un **Security Hub Findings - Imported**evento in Amazon. EventBridge Puoi intraprendere azioni automatiche su quell'evento. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

## Prerequisiti per l'utilizzo di `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings`deve essere chiamato da uno dei seguenti:
+ L'account associato ai risultati. L'identificatore dell'account associato deve corrispondere al valore dell'`AwsAccountId`attributo per il risultato.
+ Un account consentito nell'elenco dei partner CSPM ufficiali di Security Hub.

Security Hub CSPM può accettare la ricerca di aggiornamenti solo per gli account con Security Hub CSPM abilitato. Anche il provider di risultati deve essere abilitato. Se Security Hub CSPM è disabilitato o l'integrazione del provider di ricerca non è abilitata, i risultati vengono restituiti nell'`FailedFindings`elenco, con un `InvalidAccess` errore.

## Determinazione per creare o aggiornare un risultato
<a name="batchimportfindings-create-or-update"></a>

Per determinare se creare o aggiornare un risultato, Security Hub CSPM controlla il `ID` campo. Se il valore di `ID` non corrisponde a un risultato esistente, Security Hub CSPM crea un nuovo risultato.

Se `ID` corrisponde a un risultato esistente, Security Hub CSPM controlla il `UpdatedAt` campo per l'aggiornamento e procede come segue:
+ Se `UpdatedAt` l'aggiornamento corrisponde o si verifica prima `UpdatedAt` del risultato esistente, Security Hub CSPM ignora la richiesta di aggiornamento.
+ Se `UpdatedAt` l'aggiornamento avviene dopo `UpdatedAt` il risultato esistente, Security Hub CSPM aggiorna il risultato esistente.

## Restrizioni sulla ricerca di aggiornamenti con `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

I fornitori di servizi di ricerca non possono `BatchImportFindings` utilizzare per aggiornare i seguenti attributi di un risultato esistente:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM ignora qualsiasi contenuto fornito in una `BatchImportFindings` richiesta per questi attributi. I clienti o le entità che agiscono per loro conto (come gli strumenti di ticketing) possono utilizzare `BatchUpdateFindings` per aggiornare questi attributi.

## Aggiornamento dei risultati con FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Inoltre, i fornitori di servizi di ricerca non dovrebbero `BatchImportFindings` aggiornare i seguenti attributi di primo livello nel AWS Security Finding Format (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Invece, i provider di ricerca dovrebbero utilizzare l'[`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)oggetto per fornire valori per questi attributi.

**Esempio**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Per `BatchImportFindings` le richieste, Security Hub CSPM gestisce i valori negli attributi di primo livello e nel [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)modo seguente.

**(Preferito) `BatchImportFindings` fornisce un valore per un attributo in [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), ma non fornisce un valore per l'attributo di primo livello corrispondente.**  
Ad esempio`FindingProviderFields.Confidence`, `BatchImportFindings` fornisce ma non fornisce`Confidence`. Questa è l'opzione preferita per `BatchImportFindings` le richieste.  
Security Hub CSPM aggiorna il valore dell'attributo in. `FindingProviderFields`  
Replica il valore nell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`

**`BatchImportFindings`fornisce un valore per un attributo di primo livello, ma non fornisce un valore per l'attributo corrispondente in. `FindingProviderFields`**  
Ad esempio`Confidence`, `BatchImportFindings` fornisce ma non fornisce`FindingProviderFields.Confidence`.  
Security Hub CSPM utilizza il valore per aggiornare l'attributo in. `FindingProviderFields` Sovrascrive qualsiasi valore esistente.  
Security Hub CSPM aggiorna l'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`

**`BatchImportFindings`fornisce un valore sia per un attributo di primo livello che per l'attributo corrispondente in. `FindingProviderFields`**  
Ad esempio, `BatchImportFindings` fornisce entrambi `Confidence` e`FindingProviderFields.Confidence`.  
Per una nuova scoperta, Security Hub CSPM utilizza il valore in `FindingProviderFields` per compilare sia l'attributo di primo livello che l'attributo corrispondente in. `FindingProviderFields` Non utilizza il valore dell'attributo di primo livello fornito.  
Per un risultato esistente, Security Hub CSPM utilizza entrambi i valori. Tuttavia, aggiorna il valore dell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`

# BatchUpdateFindings per i clienti
<a name="finding-update-batchupdatefindings"></a>

AWS I clienti di Security Hub CSPM e le entità che agiscono per loro conto possono utilizzare l'[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione per aggiornare le informazioni relative all'elaborazione dei risultati CSPM di Security Hub rilevati dai provider di ricerca. In qualità di cliente, puoi utilizzare direttamente questa operazione. Anche gli strumenti SIEM, di ticketing, di gestione degli incidenti e SOAR possono utilizzare questa operazione per conto di un cliente.

Non è possibile utilizzare l'`BatchUpdateFindings`operazione per creare nuove scoperte. Tuttavia, puoi utilizzarla per aggiornare fino a 100 risultati esistenti alla volta. In una `BatchUpdateFindings` richiesta, specificate quali risultati aggiornare, quali campi del AWS Security Finding Format (ASFF) aggiornare per i risultati e i nuovi valori per i campi. Security Hub CSPM aggiorna quindi i risultati come specificato nella richiesta. Questo processo può richiedere alcuni minuti. Se aggiorni i risultati utilizzando l'`BatchUpdateFindings`operazione, gli aggiornamenti non influiscono sui valori esistenti per il `UpdatedAt` campo dei risultati.

Quando Security Hub CSPM riceve una `BatchUpdateFindings` richiesta di aggiornamento di un risultato, genera automaticamente un **Security Hub Findings – Imported**evento in Amazon. EventBridge Facoltativamente, puoi utilizzare questo evento per intraprendere azioni automatiche sul risultato specificato. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

## Campi disponibili per BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, puoi utilizzarlo `BatchUpdateFindings` per aggiornare i risultati generati dall'account amministratore o dagli account dei membri. Gli account dei membri possono essere utilizzati `BatchUpdateFindings` per aggiornare i risultati solo per il proprio account.

I clienti possono utilizzare `BatchUpdateFindings` per aggiornare i seguenti campi e oggetti:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Configurazione dell'accesso a BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

È possibile configurare le policy AWS Identity and Access Management (IAM) per limitare l'accesso all'utilizzo per `BatchUpdateFindings` aggiornare i campi di ricerca e i valori dei campi.

In un'istruzione a cui limitare l'accesso`BatchUpdateFindings`, utilizza i seguenti valori:
+ `Action` è `securityhub:BatchUpdateFindings`
+ `Effect` è `Deny`
+ Infatti`Condition`, puoi rifiutare una `BatchUpdateFindings` richiesta in base a quanto segue:
  + La scoperta include un campo specifico.
  + Il risultato include un valore di campo specifico.

### Chiavi di condizione
<a name="batchupdatefindings-configure-access-context-keys"></a>

Queste sono le chiavi condizionali per limitare l'accesso a`BatchUpdateFindings`.

**Campo ASFF**  
La chiave di condizione per un campo ASFF è la seguente:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Sostituisci `<fieldName>` con il campo ASFF. Quando configuri l'accesso a`BatchUpdateFindings`, includi uno o più campi ASFF specifici nella tua policy IAM anziché un campo a livello principale. Ad esempio, per limitare l'accesso al `Workflow.Status` campo, devi includere ` securityhub:ASFFSyntaxPath/Workflow.Status` nella tua policy anziché il campo a livello principale. `Workflow`

### Impedire tutti gli aggiornamenti a un campo
<a name="batchupdatefindings-configure-access-block-field"></a>

Per impedire a un utente di aggiornare un campo specifico, utilizza una condizione come questa:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Ad esempio, la seguente dichiarazione indica che non `BatchUpdateFindings` può essere utilizzata per aggiornare il `Workflow.Status` campo dei risultati.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Non consentire valori di campo specifici
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Per impedire a un utente di impostare un campo su un valore specifico, usa una condizione come questa:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Ad esempio, la seguente istruzione indica che non `BatchUpdateFindings` può essere utilizzata per `Workflow.Status` impostare su`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

Puoi anche fornire un elenco di valori non consentiti.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Ad esempio, la seguente dichiarazione indica che non `BatchUpdateFindings` può essere utilizzata per `Workflow.Status` impostare uno dei due `RESOLVED` valori`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM
<a name="securityhub-findings-viewing"></a>

In AWS Security Hub CSPM, un *risultato* è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Security Hub CSPM genera un risultato quando completa un controllo di sicurezza e quando inserisce un risultato da un prodotto integrato Servizio AWS o di terze parti. Ogni risultato include una cronologia delle modifiche e altri dettagli, come un indice di gravità e informazioni sulle risorse interessate.

Puoi rivedere la cronologia e altri dettagli dei singoli risultati sulla console CSPM di Security Hub o a livello di codice con l'API CSPM di Security Hub o il. AWS CLI

Per aiutarti a semplificare l'analisi, la console Security Hub CSPM visualizza un pannello di ricerca quando scegli un risultato specifico. Il pannello include diversi menu e schede per esaminare i dettagli specifici di un risultato.

**Menu Azioni**  
Da questo menu è possibile rivedere il codice JSON completo di una ricerca o aggiungere note. A un risultato può essere allegata una sola nota alla volta. Questo menu fornisce anche opzioni per [impostare lo stato del flusso di lavoro di un risultato](findings-workflow-status.md) o [inviare un risultato a un'azione personalizzata](findings-custom-action.md) in Amazon EventBridge.

**Esplora il menu**  
Da questo menu, puoi esaminare una scoperta in Amazon Detective. Detective estrae entità, come indirizzi IP e AWS utenti, da una scoperta e visualizza la loro attività. È possibile utilizzare l'attività dell'entità come punto di partenza per indagare sulla causa e sull'impatto di una scoperta.

**Scheda Panoramica**  
Questa scheda fornisce un riepilogo di un risultato. Ad esempio, è possibile determinare quando un risultato è stato creato e aggiornato l'ultima volta, in quale account esiste e l'origine del risultato. Per quanto riguarda i risultati del controllo, questa scheda mostra anche il nome della AWS Config regola associata e un collegamento alle linee guida per la correzione nella documentazione CSPM di Security Hub.  
Nell'istantanea **delle risorse** della scheda **Panoramica**, è possibile ottenere una breve panoramica delle risorse coinvolte in un risultato. Per alcune risorse, è inclusa l'opzione **Open resource**, che si collega direttamente a una risorsa interessata sulla console Servizio AWS pertinente. L'istantanea **della cronologia** mostra fino a due modifiche apportate al risultato nella data più recente per la quale viene tenuta traccia della cronologia. Ad esempio, se hai apportato una modifica ieri e un'altra oggi, l'istantanea mostra la modifica odierna. Per rivedere le voci precedenti, passa alla scheda **Cronologia**.  
La riga **Conformità** si espande per mostrare ulteriori dettagli. Ad esempio, se un controllo include parametri, è possibile rivedere i valori dei parametri attualmente utilizzati da Security Hub CSPM per eseguire i controlli di sicurezza per il controllo.

**Scheda Risorse**  
Questa scheda fornisce dettagli sulle risorse coinvolte in un risultato. Se hai effettuato l'accesso all'account che possiede una risorsa, puoi esaminarla nella Servizio AWS console pertinente. Se non sei il proprietario di una risorsa, questa scheda mostra l' Account AWS ID del proprietario.  
La riga **Dettagli** mostra i dettagli specifici della risorsa in un risultato. Mostra la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)sezione del risultato in formato JSON.  
La riga **Tag** mostra le chiavi e i valori dei tag assegnati alle risorse coinvolte in un risultato. Le risorse [supportate dal GetResources funzionamento dell'](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)API AWS Resource Groups Tagging possono essere taggate. Security Hub CSPM richiama questa operazione utilizzando un [ruolo collegato al servizio durante l'elaborazione di risultati nuovi o aggiornati e recupera i tag delle risorse se il campo AWS Security Finding Format (ASFF) `Resource.Id` è popolato con l'ARN](using-service-linked-roles.md) di una risorsa. Security Hub CSPM ignora la risorsa non valida. IDs Per ulteriori informazioni sull'inclusione dei tag delle risorse nei risultati, vedere. [Tag](asff-resources-attributes.md#asff-resources-tags)

**Scheda Cronologia**  
Questa scheda tiene traccia della cronologia di un ritrovamento. La cronologia delle ricerche è disponibile per i risultati attivi e archiviati. Fornisce una traccia immutabile delle modifiche apportate a un risultato nel tempo, tra cui la modifica del campo ASFF, quando è avvenuta la modifica e da quale utente. Ogni pagina della scheda mostra fino a 20 modifiche. Le modifiche più recenti vengono visualizzate per prime.  
Per i risultati attivi, la cronologia dei risultati è disponibile per un massimo di 90 giorni. Per i risultati archiviati, la cronologia dei risultati è disponibile per un massimo di 30 giorni. La ricerca della cronologia include le modifiche apportate manualmente o automaticamente dalle regole di [automazione CSPM di Security Hub](automation-rules.md). Non include le modifiche ai campi di timestamp di primo livello, come i campi e. `CreatedAt` `UpdatedAt`  
Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, la cronologia delle ricerche riguarda l'account amministratore e tutti gli account dei membri.

**Scheda Minacce**  
Questa scheda include i dati e [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html)gli oggetti dell'ASFF, incluso il tipo di minaccia e se una risorsa è l'obiettivo o l'attore. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) Questi dettagli si applicano in genere ai risultati che provengono da Amazon GuardDuty.

**Scheda Vulnerabilità**  
Questa scheda mostra i dati dell'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)oggetto dell'ASFF, inclusa l'eventuale presenza di exploit o correzioni disponibili associati a un risultato. Questi dettagli si applicano in genere ai risultati che provengono da Amazon Inspector.

Le righe di ogni scheda includono un'opzione di copia o filtro. Ad esempio, se aprite il pannello relativo a un risultato con lo stato del flusso di lavoro impostato su **Notificato**, potete scegliere l'opzione di filtro accanto alla riga **Stato del flusso di lavoro**. Se scegli **Mostra tutti i risultati con questo valore**, Security Hub CSPM filtra la tabella dei risultati e visualizza solo i risultati con lo stesso stato del flusso di lavoro.

## Revisione dei dettagli e della cronologia dei risultati
<a name="finding-view-details-console"></a>

Scegli il tuo metodo preferito e segui i passaggi per esaminare i dettagli della ricerca in Security Hub CSPM.

Se abiliti l'aggregazione tra regioni e accedi alla regione di aggregazione, la ricerca dei dati include i dati della regione di aggregazione e delle regioni collegate. In altre regioni, la ricerca di dati è specifica solo per quella regione. Per ulteriori informazioni sull'aggregazione tra regioni, vedere. [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md)

------
#### [ Security Hub CSPM console ]

**Analisi dei dettagli e della cronologia dei risultati**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Per visualizzare un elenco dei risultati, effettuate una delle seguenti operazioni:
   + Nel riquadro di navigazione, seleziona **Esiti**. Aggiungete i filtri di ricerca necessari per restringere l'elenco dei risultati.
   + Nel riquadro di navigazione, seleziona **Informazioni dettagliate**. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.
   + Nel riquadro di navigazione, scegli **Integrazioni**. Scegli **Vedi risultati** per un'integrazione.
   + Nel riquadro di navigazione, scegli **Controlli**.

1. Scegli un risultato. Il pannello di ricerca mostra i dettagli del risultato.

1. Nel pannello di ricerca, effettuate una delle seguenti operazioni:
   + Per esaminare i dettagli specifici del risultato, scegliete una scheda.
   + Per intervenire sulla scoperta, scegli un'opzione dal menu **Azioni**.
   + Per indagare sulla scoperta in Amazon Detective, scegli un'opzione **Investigate**.

**Nota**  
Se esegui l'integrazione con AWS Organizations e hai effettuato l'accesso a un account membro, il pannello di ricerca include il nome dell'account. Per gli account membro invitati manualmente, anziché tramite Organizations, il pannello di ricerca include solo l'ID dell'account.

------
#### [ Security Hub CSPM API ]

Utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub o, se stai utilizzando AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) Puoi fornire uno o più valori per il `Filters` parametro per restringere i risultati da recuperare.

Se il volume dei risultati è troppo grande, è possibile utilizzare il `MaxResults` parametro per limitare i risultati a un numero specifico e il `NextToken` parametro per impaginare i risultati. Utilizzate il `SortCriteria` parametro per ordinare i risultati in base a un campo specifico.

Ad esempio, il AWS CLI comando seguente recupera i risultati che corrispondono ai criteri di filtro specificati e ordina i risultati in ordine decrescente in base al campo. `LastObservedAt` Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Per esaminare la cronologia dei risultati, utilizzare l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html) Se stai usando il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)comando. Identifica il risultato di cui vuoi ottenere la cronologia con i `Id` campi `ProductArn` and. Per informazioni su questi campi, consulta [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Ogni richiesta può recuperare la cronologia di un solo risultato.

Ad esempio, il AWS CLI comando seguente recupera la cronologia del risultato specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Utilizza il cmdlet `Get-SHUBFinding`. Facoltativamente, compila il `Filter` parametro per restringere i risultati da recuperare.

Ad esempio, il cmdlet seguente recupera i risultati che corrispondono ai filtri specificati.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**Nota**  
Se si filtrano i risultati per `CompanyName` o`ProductName`, Security Hub CSPM utilizza i valori che fanno parte dell'oggetto `ProductFields` ASFF. Security Hub CSPM non utilizza il livello e i campi principali`CompanyName`. `ProductName`

# Filtraggio dei risultati in Security Hub CSPM
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM genera i propri risultati dai controlli di sicurezza e riceve i risultati dai prodotti integrati. È possibile visualizzare un elenco di risultati nelle pagine **Findings**, **Integrations** e **Insights** della console Security Hub CSPM. È possibile aggiungere filtri per restringere un elenco di risultati in modo che l'elenco sia pertinente alla propria organizzazione o al proprio caso d'uso.

Per informazioni sul filtraggio dei risultati per uno specifico controllo di sicurezza, consulta[Filtraggio e ordinamento dei risultati del controllo](control-finding-list.md). Le informazioni contenute in questa pagina si riferiscono alle pagine **Findings**, **Insights** e **Integrations**.

## Filtri predefiniti per gli elenchi di ricerca
<a name="finding-list-default-filters"></a>

Per impostazione predefinita, gli elenchi di ricerca sulla console CSPM di Security Hub vengono filtrati in base ai `Workflow.Status` campi `RecordState` e del AWS Security Finding Format (ASFF). Questo si aggiunge ai filtri per informazioni o integrazioni specifiche.

Lo stato del record indica se un risultato è attivo o archiviato. Per impostazione predefinita, un elenco di risultati mostra solo i risultati attivi. Un fornitore di servizi di ricerca può archiviare un risultato se non è più attivo o importante. Security Hub CSPM archivia inoltre automaticamente i risultati del controllo se la risorsa associata viene eliminata.

Lo stato del flusso di lavoro indica lo stato di un'indagine su un risultato. Per impostazione predefinita, un elenco di risultati mostra solo risultati con uno stato del flusso di lavoro `NEW` o `NOTIFIED`. È possibile aggiornare lo stato del flusso di lavoro di un risultato.

## Istruzioni per aggiungere filtri
<a name="finding-list-filters"></a>

È possibile filtrare un elenco di risultati in base a un massimo di dieci attributi. Per ogni attributo, puoi fornire fino a 20 valori di filtro.

Quando filtra l'elenco dei risultati, Security Hub CSPM applica la `AND` logica al set di filtri. Una ricerca corrisponde solo se corrisponde a tutti i filtri forniti. Ad esempio, se si aggiunge GuardDuty come filtro per **il nome del prodotto** e `AwsS3Bucket` come filtro per il **tipo di risorsa**, Security Hub CSPM visualizza i risultati che soddisfano entrambi questi criteri.

Security Hub CSPM applica `OR` la logica ai filtri che utilizzano lo stesso attributo ma valori diversi. Ad esempio, se aggiungi entrambi GuardDuty e Amazon Inspector come valori di filtro per **Product name**, Security Hub CSPM visualizza i risultati generati da Amazon Inspector o da Amazon GuardDuty Inspector.

**Per aggiungere filtri a un elenco di risultati (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Per visualizzare un elenco dei risultati, esegui una delle seguenti azioni dal pannello di navigazione:
   + Scegli **Findings**.
   + Scegli **Approfondimenti**. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.
   + Scegli **Integrations (Integrazioni)**. Scegli **Vedi risultati** per un'integrazione.

1. Nella casella **Aggiungi filtri**, seleziona uno o più campi in base ai quali filtrare.

   Quando si filtra in base al **nome dell'azienda** o al **nome del prodotto**, la console utilizza il livello superiore `CompanyName` e `ProductName` i campi del AWS Security Finding Format (ASFF). L'API utilizza i valori in cui sono annidati. `ProductFields`

1. Scegliere il tipo di corrispondenza del filtro.

   Per un filtro a stringa, puoi scegliere tra le seguenti opzioni:
   + **is** — Trova un valore che corrisponda esattamente al valore del filtro.
   + **inizia con**: trova un valore che inizi con il valore del filtro.
   + **non è**: trova un valore che non corrisponde al valore del filtro.
   + **non inizia con**: trova un valore che non inizia con il valore del filtro.

   Per il campo **Tag delle risorse**, puoi filtrare in base a chiavi o valori specifici.

   Per un filtro numerico, puoi scegliere se fornire un numero singolo (**Semplice**) o un intervallo di numeri (**Range**).

   Per un filtro di data o ora, puoi scegliere se fornire un intervallo di tempo compreso tra la data e l'ora correnti (**finestra scorrevole**) o un intervallo di date specifico (**intervallo fisso**).

   L'aggiunta di più filtri comporta le seguenti interazioni:
   + **is** e **inizia con** i filtri sono uniti da OR. Un valore corrisponde se contiene uno qualsiasi dei valori del filtro. Ad esempio, se si specifica che **l'etichetta di gravità è CRITICA** e **l'etichetta di gravità è ALTA**, i risultati includono sia i risultati critici che quelli ad alta gravità.
   + **non è** e **non inizia con** i filtri vengono uniti da AND. Un valore corrisponde solo se non contiene nessuno di questi valori di filtro. Ad esempio, se si specifica che **l'etichetta di gravità non è LOW** e **l'etichetta di severità non è MEDIUM**, i risultati non includono i risultati di gravità bassa o media.

   Se hai un filtro **is** su un campo, non puoi avere un filtro **is no** o un **non inizia con** un filtro sullo stesso campo.

1. Specificare il valore del filtro. Per i filtri a stringa, il valore del filtro fa distinzione tra maiuscole e minuscole.

1. Scegli **Applica**.

   Per un filtro esistente, è possibile modificare il tipo o il valore della corrispondenza del filtro. In un elenco di risultati filtrato, scegli il filtro. Nella casella **Modifica filtro**, scegli il nuovo tipo o valore di corrispondenza, quindi scegli **Applica**.

   Per rimuovere un filtro, scegli l'icona **x**. L'elenco viene aggiornato automaticamente in base alla modifica.

# Raggruppamento dei risultati in Security Hub CSPM
<a name="finding-list-grouping"></a>

È possibile raggruppare i risultati in AWS Security Hub CSPM in base ai valori di un attributo selezionato.

Quando si raggruppano i risultati, l'elenco dei risultati viene sostituito con un elenco di valori per l'attributo selezionato nei risultati corrispondenti. Per ogni valore, l'elenco mostra il numero di risultati corrispondenti.

Ad esempio, se si raggruppano i risultati per Account AWS ID, viene visualizzato un elenco di identificatori di account, con il numero di risultati corrispondenti per ogni account.

Security Hub CSPM può visualizzare fino a 100 valori per un attributo selezionato. Se sono presenti più di 100 valori, vengono visualizzati solo i primi 100.

Quando si sceglie un valore di attributo, Security Hub CSPM visualizza l'elenco dei risultati corrispondenti per quel valore.

**Per raggruppare i risultati in un elenco di risultati (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Per visualizzare un elenco dei risultati, esegui una delle seguenti azioni dal pannello di navigazione:
   + Scegli **Findings**.
   + Scegli **Approfondimenti**. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.
   + Scegli **Integrations (Integrazioni)**. Scegli **Vedi risultati** per un'integrazione.

1. Nel menu a discesa **Raggruppa** per, scegli l'attributo da utilizzare per il raggruppamento.

   Per rimuovere un attributo di raggruppamento, scegli l'icona **x**. Quando rimuovete l'attributo di raggruppamento, l'elenco passa dall'elenco dei valori degli attributi a un elenco di risultati.

# Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM
<a name="findings-workflow-status"></a>

Lo stato del flusso di lavoro tiene traccia dello stato di avanzamento dell'indagine su un risultato. Lo stato del flusso di lavoro è specifico per una singola scoperta e non influisce sulla generazione di nuovi risultati. Ad esempio, se si modifica lo stato del flusso di lavoro di un risultato in `SUPPRESSED` o`RESOLVED`, la modifica non impedisce a Security Hub CSPM di generare un nuovo risultato per lo stesso problema.

Lo stato del flusso di lavoro di un risultato può corrispondere a uno dei seguenti valori.

**NUOVO**  
Lo stato iniziale di un risultato prima di esaminarlo.  
I risultati acquisiti da sistemi integrati Servizi AWS, ad esempio AWS Config, hanno `NEW` come stato iniziale.  
Security Hub CSPM reimposta inoltre lo stato del flusso di lavoro da uno `NOTIFIED` o `RESOLVED` a `NEW` nei seguenti casi:  
+ `RecordState`cambia da a. `ARCHIVED` `ACTIVE`
+ `Compliance.Status`modifiche da `PASSED` a `FAILED``WARNING`, o`NOT_AVAILABLE`.
Queste modifiche implicano la necessità di ulteriori indagini.

**NOTIFICATO**  
Indica che il problema di sicurezza è stato notificato al proprietario della risorsa. Puoi utilizzare questo stato quando non sei il proprietario della risorsa ed è necessario l'intervento del proprietario della risorsa per risolvere un problema di sicurezza.  
Se si verifica una delle seguenti condizioni, lo stato del flusso di lavoro viene modificato automaticamente da `NOTIFIED` a`NEW`:  
+ `RecordState`cambia da `ARCHIVED` a`ACTIVE`.
+ `Compliance.Status`modifiche da `PASSED` a `FAILED``WARNING`, o`NOT_AVAILABLE`.

**SOPPRESSO**  
Indica che hai esaminato la scoperta e che non ritieni necessaria alcuna azione.  
Lo stato del flusso di lavoro di un `SUPPRESSED` risultato non cambia se `RecordState` cambia da `ARCHIVED` a`ACTIVE`.

**RISOLTO**  
Il risultato è stato esaminato e corretto ed è ora considerato risolto.  
Il risultato rimane valido `RESOLVED` a meno che non si verifichi una delle seguenti condizioni:  
+ `RecordState`cambia da `ARCHIVED` a`ACTIVE`.
+ `Compliance.Status`modifiche da `PASSED` a `FAILED``WARNING`, o`NOT_AVAILABLE`.
In questi casi, lo stato del flusso di lavoro viene reimpostato automaticamente su`NEW`.  
Per i risultati dei controlli, in caso `Compliance.Status` affermativo`PASSED`, Security Hub CSPM imposta automaticamente lo stato del flusso di lavoro su. `RESOLVED`

## Impostazione dello stato dei risultati del flusso di lavoro
<a name="setting-workflow-status"></a>

Per modificare lo stato del flusso di lavoro di uno o più risultati, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub. Se modifichi lo stato del flusso di lavoro di un risultato, tieni presente che Security Hub CSPM potrebbe impiegare diversi minuti per elaborare la richiesta e aggiornare il risultato.

**Suggerimento**  
È inoltre possibile modificare automaticamente lo stato del flusso di lavoro dei risultati utilizzando le regole di automazione. Con le regole di automazione, configuri Security Hub CSPM per aggiornare automaticamente lo stato del flusso di lavoro dei risultati in base ai criteri specificati. Per ulteriori informazioni, consulta [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md).

Per modificare lo stato del flusso di lavoro di uno o più risultati, scegli il metodo preferito e segui i passaggi.

------
#### [ Security Hub CSPM console ]

**Per modificare lo stato dei risultati del flusso di lavoro**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, effettuate una delle seguenti operazioni per visualizzare una tabella dei risultati:
   + Scegliete **Findings**.
   + Scegli **Approfondimenti**. Quindi scegli un approfondimento. Nei risultati dell'analisi, scegli un risultato.
   + Scegli **Integrations (Integrazioni)**. Quindi, nella sezione relativa all'integrazione, scegli **Vedi risultati**.
   + Scegli **gli standard di sicurezza**. Quindi, nella sezione relativa allo standard, scegli **Visualizza risultati**. Nella tabella dei controlli, scegli un controllo per visualizzare i risultati relativi al controllo.

1. Nella tabella dei risultati, seleziona la casella di controllo per ogni risultato di cui desideri modificare lo stato del flusso di lavoro.

1. Nella parte superiore della pagina, scegli **Stato del flusso di lavoro**, quindi scegli il nuovo stato del flusso di lavoro per i risultati selezionati.

1. Nella finestra di dialogo **Imposta lo stato del flusso** di lavoro, inserisci facoltativamente una nota che descriva in dettaglio il motivo della modifica dello stato del flusso di lavoro. Quindi scegli **Imposta stato**.

------
#### [ Security Hub CSPM API ]

Usa l'[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione. Fornisci sia l'ID del risultato che l'ARN del prodotto che ha generato il risultato. È possibile ottenere questi dettagli utilizzando l'[GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)operazione.

------
#### [ AWS CLI ]

Esegui il comando [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html). Fornisci sia l'ID del risultato che l'ARN del prodotto che ha generato il risultato. È possibile ottenere questi dettagli eseguendo il comando [get-finding](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html).

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**Esempio**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Invio dei risultati a un'azione CSPM personalizzata di Security Hub
<a name="findings-custom-action"></a>

Puoi creare azioni personalizzate AWS Security Hub CSPM per automatizzare Security Hub CSPM con Amazon. EventBridge Per le operazioni personalizzate, il tipo di evento è **Security Hub Findings - Custom Action**. Dopo aver impostato un'operazione personalizzata, puoi inviare risultati. Per ulteriori informazioni e fasi dettagliate sulla creazione di operazioni personalizzate, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

**Per inviare i risultati a un'azione personalizzata (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Per visualizzare un elenco dei risultati, effettuate una delle seguenti operazioni:
   + **Nel riquadro di navigazione CSPM di Security Hub, scegli Findings.**
   + **Nel riquadro di navigazione CSPM di Security Hub, scegli Insights.** Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.
   + **Nel pannello di navigazione CSPM di Security Hub, scegli Integrazioni.** Scegli **Vedi i risultati** per un'integrazione.
   + Nel pannello di navigazione CSPM di Security Hub, scegli Standard **di sicurezza**. Scegli **Visualizza risultati** per visualizzare un elenco di controlli. Quindi scegli il nome del controllo.

1. Nell'elenco dei risultati, seleziona la casella di controllo per ogni risultato da inviare all'azione personalizzata.

   È possibile inviare fino a 20 risultati alla volta.

1. Per **Azioni**, scegli l'azione personalizzata.

# AWS Formato ASFF (Security Finding Format)
<a name="securityhub-findings-format"></a>

AWS Security Hub CSPM utilizza e aggrega i risultati di prodotti integrati Servizi AWS e di terze parti. Security Hub CSPM elabora questi risultati utilizzando un formato di risultati standard chiamato *AWS Security Finding Format (ASFF)*, che elimina la necessità di lunghi sforzi di conversione dei dati.

Questa pagina fornisce una descrizione completa del codice JSON relativo a un risultato del AWS Security Finding Format (ASFF). [Il formato deriva da JSON Schema.](https://json-schema.org/) Scegliete il nome di un oggetto collegato per esaminare un esempio di scoperta per quell'oggetto. Il confronto dei risultati del Security Hub CSPM con le risorse e gli esempi mostrati qui può aiutarti a interpretare i risultati.

Per le descrizioni dei singoli attributi ASFF, vedere e. [Attributi ASFF di primo livello obbligatori](asff-required-attributes.md) [Attributi ASFF di primo livello opzionali](asff-top-level-attributes.md)

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# Impatto del consolidamento sui campi e sui valori ASFF
<a name="asff-changes-consolidation"></a>

AWS Security Hub CSPM offre due tipi di consolidamento per i controlli:
+ **Visualizzazione consolidata dei controlli**: con questo tipo di consolidamento, ogni controllo ha un unico identificatore per tutti gli standard. Inoltre, nella console Security Hub CSPM, la pagina **Controlli** mostra tutti i controlli di tutti gli standard. 
+ **Risultati di controllo consolidati**: con questo tipo di consolidamento, Security Hub CSPM produce un'unica ricerca per un controllo, anche se il controllo si applica a più standard abilitati. In questo modo è possibile ridurre i rumori di ricerca. 

Non è possibile abilitare o disabilitare la visualizzazione dei controlli consolidati. I risultati del controllo consolidato sono abilitati per impostazione predefinita se abiliti Security Hub CSPM il 23 febbraio 2023 o dopo tale data. Altrimenti, è disabilitato per impostazione predefinita. Tuttavia, per le organizzazioni, i risultati del controllo consolidato sono abilitati per gli account dei membri CSPM di Security Hub solo se sono abilitati per l'account amministratore. Per ulteriori informazioni sui risultati del controllo consolidato, consulta. [Generazione e aggiornamento dei risultati di controllo](controls-findings-create-update.md)

Entrambi i tipi di consolidamento influiscono sui campi e sui valori dei risultati di controllo in. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

**Topics**
+ [

## Visualizzazione consolidata dei controlli: modifiche ASFF
](#securityhub-findings-format-consolidated-controls-view)
+ [

## Risultati di controllo consolidati: modifiche ASFF
](#securityhub-findings-format-consolidated-control-findings)
+ [

## Generatore IDs prima e dopo l'attivazione dei risultati di controllo consolidati
](#securityhub-findings-format-changes-generator-ids)
+ [

## In che modo il consolidamento influisce sul controllo e sui titoli IDs
](#securityhub-findings-format-changes-ids-titles)
+ [

## Aggiornamento dei flussi di lavoro per il consolidamento
](#securityhub-findings-format-changes-prepare)

## Visualizzazione consolidata dei controlli: modifiche ASFF
<a name="securityhub-findings-format-consolidated-controls-view"></a>

La funzionalità di visualizzazione dei controlli consolidati ha introdotto le seguenti modifiche ai campi e ai valori relativi ai risultati dei controlli nell'ASFF. Se i flussi di lavoro non si basano sui valori di questi campi ASFF, non è richiesta alcuna azione. Se disponi di flussi di lavoro che si basano su valori specifici per questi campi, aggiorna i flussi di lavoro per utilizzare i valori correnti.


| Campo ASFF  | Valore di esempio prima della visualizzazione dei controlli consolidati  | Valore di esempio dopo la visualizzazione dei controlli consolidati e descrizione della modifica  | 
| --- | --- | --- | 
|  Conformità. SecurityControlId  |  Non applicabile (nuovo campo)  |  EC2.2 Introduce un unico ID di controllo per tutti gli standard. `ProductFields.RuleId`fornisce ancora l'ID di controllo basato su standard per i controlli CIS v1.2.0. `ProductFields.ControlId`fornisce ancora l'ID di controllo basato su standard per i controlli di altri standard.  | 
|  Conformità. AssociatedStandards  |  Non applicabile (nuovo campo)  |  [\$1» StandardsId «:" standards/aws-foundational-security-best-practices/v /1.0.0 «\$1] Mostra in quali standard è abilitato un controllo.  | 
|  ProductFields. ArchivalReasons. ----SEP----:0/Descrizione  |  Non applicabile (nuovo campo)  |  «Il risultato è in uno stato ARCHIVIATO perché i risultati del controllo consolidato sono stati attivati o disattivati. Ciò fa sì che i risultati dello stato precedente vengano archiviati quando vengono generati nuovi risultati». Descrive perché Security Hub CSPM ha archiviato i risultati esistenti.  | 
|  ProductFields. ArchivalReasons. ----set----:0/ ReasonCode  |  Non applicabile (nuovo campo)  |  «CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE» Fornisce il motivo per cui Security Hub CSPM ha archiviato i risultati esistenti.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Questo campo non fa più riferimento a uno standard.  | 
|  Rimediazione.Raccomandazione.Testo  |  «Per istruzioni su come risolvere questo problema, consulta la documentazione PCI AWS DSS di Security Hub CSPM.»  |  «Per istruzioni su come correggere questo problema, consulta la documentazione sui controlli CSPM AWS di Security Hub.» Questo campo non fa più riferimento a uno standard.  | 
|  Remediation.Recommendation.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Questo campo non fa più riferimento a uno standard.  | 

## Risultati di controllo consolidati: modifiche ASFF
<a name="securityhub-findings-format-consolidated-control-findings"></a>

Se abiliti i risultati di controllo consolidati, potrebbero interessarti le seguenti modifiche ai campi e ai valori relativi ai risultati di controllo nell'ASFF. Queste modifiche si aggiungono a quelle introdotte dalla funzionalità di visualizzazione dei controlli consolidati. Se i flussi di lavoro non si basano sui valori di questi campi ASFF, non è richiesta alcuna azione. Se disponi di flussi di lavoro che si basano su valori specifici per questi campi, aggiorna i flussi di lavoro per utilizzare i valori correnti.

**Suggerimento**  
Se utilizzi la soluzione [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tieni presente che supporta i risultati del controllo consolidato. Ciò significa che è possibile mantenere i flussi di lavoro attuali se si abilitano i risultati di controllo consolidati. 


| Campo ASFF  | Valore di esempio prima di abilitare i risultati di controllo consolidati  | Valore di esempio dopo aver abilitato i risultati del controllo consolidato e una descrizione della modifica  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best- 1practices/v/1.0.0/Config.  |  Controllo di sicurezza/config.1 Questo campo non fa più riferimento a uno standard.  | 
|  Titolo  |  PCI.config.1 dovrebbe AWS Config essere abilitato  |  AWS Config dovrebbe essere abilitato Questo campo non fa più riferimento a informazioni specifiche dello standard.  | 
|  Id  |  arn:aws:securityhub:eu-central- 1:123456789012:6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab  |  arn:aws:securityhub:eu-central- 1:123456789012: sicurezza - 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Questo campo non fa più riferimento a uno standard.  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Rimosso. Vedi `Compliance.SecurityControlId` invece. Questo campo viene rimosso a favore di un unico ID di controllo indipendente dagli standard.  | 
|  ProductFields.RuleId  |  1.3  |  Rimosso. Vedi `Compliance.SecurityControlId` invece. Questo campo viene rimosso a favore di un unico ID di controllo indipendente dagli standard.  | 
|  Description  |  Questo controllo PCI DSS verifica se AWS Config è abilitato nell'account e nella regione correnti.  |  Questo AWS controllo verifica se AWS Config è abilitato nell'account e nella regione correnti.Questo campo non fa più riferimento a uno standard.  | 
|  Gravità  |  «Severità»: \$1 «Prodotto»: 90, «Etichetta»: «CRITICAL», «Normalizzato»: 90, «Originale»: «CRITICO» \$1  |  «Severità»: \$1 «Etichetta»: «CRITICAL», «Normalizzato»: 90, «Originale»: «CRITICO» \$1 Security Hub CSPM non utilizza più il campo Prodotto per descrivere la gravità di un risultato.  | 
|  Tipi  |  ["Software, configurazione Checks/Industry e standard normativi/PCI-DSS"]  |  ["Software e configurazione e standard normativi"] Checks/Industry Questo campo non fa più riferimento a uno standard.  | 
|  Conformità. RelatedRequirements  |  ["PCI DSS 10.5.2", «PCI DSS 11,5", «Fondamenti CIS 2.5"] AWS   |  ["PCI DSS versione 3.2.1/10.5.2", «PCI DSS versione 3.2.1/11.5", «Benchmark AWS CIS Foundations v1.2.0/2.5"] Questo campo mostra i requisiti correlati in tutti gli standard abilitati.  | 
|  CreatedAt  |  2022-05-05T 08:18:13.138 Z  |  2022-09-25T 08:18:13,138 Z Il formato rimane lo stesso, ma il valore viene ripristinato quando si abilitano i risultati del controllo consolidato.  | 
|  FirstObservedAt  |  2022-05-07T 08:18:13.138 Z  | 2022-09-28T 08:18:13.138 Z Il formato rimane lo stesso, ma il valore viene ripristinato quando si abilitano i risultati del controllo consolidato.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Rimosso. Vedi `Remediation.Recommendation.Url` invece. | 
|  ProductFields.StandardsArn  |  arn:aws:securityhub::: /1.0.0 standards/aws-foundational-security-best-practices/v  |  Rimosso. Vedi `Compliance.AssociatedStandards` invece.  | 
|  ProductFields.StandardsControlArn  |  arn:aws:securityhub:us-east- 1:123456789012:1. control/aws-foundational-security-best-practices/v/1.0.0/Config  |  Rimosso. Security Hub CSPM genera un risultato per un controllo di sicurezza tra gli standard.  | 
|  ProductFields.StandardsGuideArn  |  arn: aws:securityhub::: /1.2.0 ruleset/cis-aws-foundations-benchmark/v  |  Rimosso. Vedi `Compliance.AssociatedStandards` invece.  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn:aws:securityhub:us-east- 2:123456789012: /1.2.0 subscription/cis-aws-foundations-benchmark/v  |  Rimosso. Security Hub CSPM genera un risultato per un controllo di sicurezza tra gli standard.  | 
|  ProductFields.StandardsSubscriptionArn  |  arn:aws:securityhub:us-east- 1:123456789012: /1.0.0 subscription/aws-foundational-security-best-practices/v  |  Rimosso. Security Hub CSPM genera un risultato per un controllo di sicurezza tra gli standard.  | 
|  ProductFields.aws/securityhub/FindingId  |  arn:aws:securityhub:us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding  |  arn:aws:securityhub:us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding  Questo campo non fa più riferimento a uno standard.  | 

### Valori per i campi ASFF forniti dal cliente dopo l'attivazione dei risultati del controllo consolidato
<a name="consolidated-controls-view-customer-provided-values"></a>

Se abiliti i risultati del controllo consolidato, Security Hub CSPM genera un risultato tra gli standard e archivia i risultati originali (risultati separati per ogni standard).

Gli aggiornamenti apportati ai risultati originali utilizzando la console CSPM di Security Hub o l'[https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html)operazione non verranno conservati nei nuovi risultati. Se necessario, puoi recuperare questi dati facendo riferimento ai risultati archiviati. **Per esaminare i risultati archiviati, è possibile utilizzare la pagina **Risultati** sulla console CSPM di Security Hub e impostare il filtro **Record state** su ARCHIVED.** In alternativa, è possibile utilizzare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.


| Campo ASFF fornito dal cliente  | Descrizione della modifica dopo l'attivazione dei risultati del controllo consolidato  | 
| --- | --- | 
|  Confidence  |  Ripristina lo stato vuoto.  | 
|  Criticità  |  Ripristina lo stato vuoto.  | 
|  Nota  |  Si ripristina allo stato vuoto.  | 
|  RelatedFindings  |  Si ripristina allo stato vuoto.  | 
|  Gravità  |  Gravità predefinita del risultato (corrisponde alla gravità del controllo).  | 
|  Tipi  |  Ripristina il valore indipendente dallo standard.  | 
|  UserDefinedFields  |  Ripristina lo stato vuoto.  | 
|  VerificationState  |  Si ripristina allo stato vuoto.  | 
|  Flusso di lavoro  |  Il valore predefinito dei nuovi risultati non riusciti è. NEW I nuovi risultati passati hanno un valore predefinito diRESOLVED.  | 

## Generatore IDs prima e dopo l'attivazione dei risultati di controllo consolidati
<a name="securityhub-findings-format-changes-generator-ids"></a>

La tabella seguente elenca le modifiche ai valori dell'ID del generatore per i controlli quando abiliti i risultati del controllo consolidato. Queste modifiche si applicano ai controlli supportati da Security Hub CSPM a partire dal 15 febbraio 2023.


| GeneratorID prima di abilitare i risultati di controllo consolidati | GeneratorID dopo aver abilitato i risultati di controllo consolidati | 
| --- | --- | 
|  arn: aws:securityhub::: /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 1. CloudWatch  | 
|  arn: aws:securityhub::: /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.16  | 
|  arn: aws:securityhub::: /1.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.17  | 
|  arn: aws:securityhub::: /1.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.4  | 
|  arn: aws:securityhub::: /1.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.9  | 
|  arn:aws:securityhub::: /1.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.6  | 
|  arn: aws:securityhub::: /1.16 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.2  | 
|  arn: aws:securityhub::: /1.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.5  | 
|  arn:aws:securityhub::: /1.20 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.18  | 
|  arn: aws:securityhub::: /1.22 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.1  | 
|  arn: aws:securityhub::: /1.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.8  | 
|  arn: aws:securityhub::: /1.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.3  | 
|  arn: aws:securityhub::: /1.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.11  | 
|  arn: aws:securityhub::: /1.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.12  | 
|  arn: aws:securityhub::: /1.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.13  | 
|  arn: aws:securityhub::: /1.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.14  | 
|  arn:aws:securityhub::: /1.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/IAM.15  | 
|  arn: aws:securityhub::: /2.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 1. CloudTrail  | 
|  arn: aws:securityhub::: /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 4. CloudTrail  | 
|  arn: aws:securityhub::: /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 6. CloudTrail  | 
|  arn: aws:securityhub::: /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 5. CloudTrail  | 
|  arn: aws:securityhub::: /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/config.1  | 
|  arn: aws:securityhub::: /2.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .7 CloudTrail  | 
|  arn: aws:securityhub::: /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 2. CloudTrail  | 
|  arn: aws:securityhub::: /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/KMS.4  | 
|  arn: aws:securityhub::: /2.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/EC2.6  | 
|  arn: aws:securityhub::: /3.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 2. CloudWatch  | 
|  arn: aws:securityhub::: /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .3 CloudWatch  | 
|  arn: aws:securityhub::: /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 1. CloudWatch  | 
|  arn: aws:securityhub::: /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .4 CloudWatch  | 
|  arn: aws:securityhub::: /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ 5. CloudWatch  | 
|  arn: aws:securityhub::: /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .6 CloudWatch  | 
|  arn: aws:securityhub::: /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .7 CloudWatch  | 
|  arn: aws:securityhub::: /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .8 CloudWatch  | 
|  arn: aws:securityhub::: /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .9 CloudWatch  | 
|  arn: aws:securityhub::: /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .10 CloudWatch  | 
|  arn: aws:securityhub::: /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .11 CloudWatch  | 
|  arn: aws:securityhub::: /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .12 CloudWatch  | 
|  arn: aws:securityhub::: /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .13 CloudWatch  | 
|  arn: aws:securityhub::: /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controllo di sicurezza/ .14 CloudWatch  | 
|  arn: aws:securityhub::: /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/EC2.13  | 
|  arn: aws:securityhub::: /4.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/EC2.14  | 
|  arn: aws:securityhub::: /4.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Controllo di sicurezza/EC 2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.10  |  Controllo di sicurezza/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.14  |  Controllo di sicurezza/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.16  |  Controllo di sicurezza/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.17  |  Controllo di sicurezza/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  Controllo di sicurezza/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.5  |  Controllo di sicurezza/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  Controllo di sicurezza/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.7  |  controllo di sicurezza/ 1CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.8  |  Controllo di sicurezza/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.9  |  Controllo di sicurezza/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  Controlli di sicurezza/s3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  Controlli di sicurezza/s3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  Controllo di sicurezza/s3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  Controllo di sicurezza/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  Controllo di sicurezza/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  controllo di sicurezza/ 1CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  controllo di sicurezza/ 4. CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  controllo di sicurezza/ 5. CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.5  |  Controllo di sicurezza/config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  Controllo di sicurezza/s3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  controllo di sicurezza/ 2. CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  Controllo di sicurezza/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  Controllo di sicurezza/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  controllo di sicurezza/ 1CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.4  |  controllo di sicurezza/ 4. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  controllo di sicurezza/ 5. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  controllo di sicurezza/ 6. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  controllo di sicurezza/ .7 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  controllo di sicurezza/ .8 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  controllo di sicurezza/ .9 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.10  |  controllo di sicurezza/ .10 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.11  |  controllo di sicurezza/ .11 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.12  |  controllo di sicurezza/ .12 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.13  |  controllo di sicurezza/ .13 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.14  |  controllo di sicurezza/ 1.4 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  Controllo di sicurezza/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  Controllo di sicurezza/EC2.2  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Account  |  Controllo di sicurezza/Account.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ACM  |  Controllo di sicurezza/ACM.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/APIGateway  |  controllo di sicurezza/ .1 APIGateway  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .2 APIGateway  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/APIGateway  |  controllo di sicurezza/ .3 APIGateway  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .4 APIGateway  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .5 APIGateway  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .8 APIGateway  | 
|  aws-foundational-security-best- .9 practices/v/1.0.0/APIGateway  |  controllo di sicurezza/ .9 APIGateway  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/AutoScaling.  |  controllo di sicurezza/ .1 AutoScaling  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/AutoScaling.  |  controllo di sicurezza/ .2 AutoScaling  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .3 AutoScaling  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Autoscaling.  |  Controllo di sicurezza/scalabilità automatica. 5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .6AutoScaling.  | 
|  aws-foundational-security-best- .9 practices/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .9 AutoScaling  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudFront.  |  controllo di sicurezza/ .1 CloudFront  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .3 CloudFront  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudFront.  |  controllo di sicurezza/ .4 CloudFront  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudFront.  |  controllo di sicurezza/ .5 CloudFront  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/CloudFront.  |  controllo di sicurezza/ .6CloudFront.  | 
|  aws-foundational-security-best- .7 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .7 CloudFront  | 
|  aws-foundational-security-best- .8 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .8 CloudFront  | 
|  aws-foundational-security-best- .9 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .9 CloudFront  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .10 CloudFront  | 
|  aws-foundational-security-best- .12 practices/v/1.0.0/CloudFront  |  controllo di sicurezza/ .12 CloudFront  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .1 CloudTrail  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .2 CloudTrail  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .4 CloudTrail  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .5 CloudTrail  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .1 CodeBuild  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .2 CodeBuild  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/CodeBuild  |  controllo di sicurezza/ .3 CodeBuild  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .4 CodeBuild  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Config.  |  Controllo di sicurezza/config.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/DMS  |  Controllo di sicurezza/DMS.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/DynamoDB  |  Controllo della sicurezza/DynamoDB.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/DynamoDB  |  Controllo della sicurezza/DynamoDB.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/DynamoDB  |  Controllo di sicurezza/DynamoDB.3  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.1  | 
|  aws-foundational-security-best- 2.3 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.3  | 
|  aws-foundational-security-best- 2.4 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.4  | 
|  aws-foundational-security-best- 2.6 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.6  | 
|  aws-foundational-security-best- 2,7 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.7  | 
|  aws-foundational-security-best- 2.8 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.8  | 
|  aws-foundational-security-best- 2,9 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.9  | 
|  aws-foundational-security-best- 2,10 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.10  | 
|  aws-foundational-security-best- 2,15 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.15  | 
|  aws-foundational-security-best- 2.16 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.16  | 
|  aws-foundational-security-best- 2.17 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.17  | 
|  aws-foundational-security-best- 2.18 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.18  | 
|  aws-foundational-security-best- 2.19 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.19  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.2  | 
|  aws-foundational-security-best- 2.20 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.20  | 
|  aws-foundational-security-best- 2.21 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.21  | 
|  aws-foundational-security-best- 2.23 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.23  | 
|  aws-foundational-security-best- 2,24 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC2.24  | 
|  aws-foundational-security-best- 2,25 practices/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.25  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.3  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.1  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.10  | 
|  aws-foundational-security-best- .12 practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.12  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.5  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.4  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/EKS  |  Controllo di sicurezza/EKS.2  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ElasticBeanstalk  |  controllo di sicurezza/ .1 ElasticBeanstalk  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ElasticBeanstalk.  |  controllo di sicurezza/ .2 ElasticBeanstalk  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/ELBv  |  Controllo di sicurezza/ELB.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.9  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.10  | 
|  aws-foundational-security-best- .11 practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.11  | 
|  aws-foundational-security-best- .12 practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.13  | 
|  aws-foundational-security-best- 1.4 practices/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.14  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/EMR  |  Controllo di sicurezza/EMR.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ES  |  Controllo di sicurezza/ES.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/GuardDuty  |  controllo di sicurezza/ .1 GuardDuty  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/IAM.  |  Controllo di sicurezza/IAM.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.2  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.21  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Kinesis  |  Controllo di sicurezza/Kinesis.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.3  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.2  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.5  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/NetworkFirewall  |  controllo di sicurezza/ .3 NetworkFirewall  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .4 NetworkFirewall  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .5 NetworkFirewall  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .6NetworkFirewall.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Opensearch.  |  Security-Control/OpenSearch.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.1  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.10  | 
|  aws-foundational-security-best- .11 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.11  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.13  | 
|  aws-foundational-security-best- 1.4 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.14  | 
|  aws-foundational-security-best- 1.5 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.15  | 
|  aws-foundational-security-best- 1.6 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.16  | 
|  aws-foundational-security-best- .17 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.17  | 
|  aws-foundational-security-best- .19 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.19  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.2  | 
|  aws-foundational-security-best- 2.0 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.20  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.21  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.22  | 
|  aws-foundational-security-best- 2.3 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.23  | 
|  aws-foundational-security-best- 2.4 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.24  | 
|  aws-foundational-security-best- 2.5 practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.25  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.9  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.4  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.9  | 
|  aws-foundational-security-best- 3.1 practices/v/1.0.0/S  |  Controlli di sicurezza/S3.1  | 
|  aws-foundational-security-best- 3.12 practices/v/1.0.0/S  |  Controllo di sicurezza/S3.12  | 
|  aws-foundational-security-best- 3.13 practices/v/1.0.0/S  |  Controllo di sicurezza/S3.13  | 
|  aws-foundational-security-best- 3.2 practices/v/1.0.0/S  |  Controlli di sicurezza/S3.2  | 
|  aws-foundational-security-best- 3.3 practices/v/1.0.0/S  |  Controlli di sicurezza/S3.3  | 
|  aws-foundational-security-best- 3.5 practices/v/1.0.0/S  |  Controlli di sicurezza/S 3.5  | 
|  aws-foundational-security-best- 3.6 practices/v/1.0.0/S  |  Controllo di sicurezza/S3.6  | 
|  aws-foundational-security-best- 3.8 practices/v/1.0.0/S  |  Controllo di sicurezza/S3.8  | 
|  aws-foundational-security-best- 3.9 practices/v/1.0.0/S  |  Controllo di sicurezza/S3.9  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/SageMaker  |  controllo di sicurezza/ .1 SageMaker  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SageMaker.  |  controllo di sicurezza/ .2 SageMaker  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/SageMaker  |  controllo di sicurezza/ .3 SageMaker  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .1 SecretsManager  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .2 SecretsManager  | 
|  aws-foundational-security-best- .3 practices/v/1.0.0/SecretsManager  |  controllo di sicurezza/ .3 SecretsManager  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .4 SecretsManager  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SQS.  |  Controllo di sicurezza/SQS.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.4  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.4  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.8  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.10  | 
|  pci-. dss/v/3.2.1/PCI AutoScaling1.  |  controllo di sicurezza/ .1 AutoScaling  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail1.  |  controllo di sicurezza/ .2CloudTrail.  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail2.  |  controllo di sicurezza/ .3 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail3.  |  controllo di sicurezza/ .4 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail4.  |  controllo di sicurezza/ .5 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild1.  |  controllo di sicurezza/ .1 CodeBuild  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild2.  |  controllo di sicurezza/ .2CodeBuild.  | 
|  pci- .config.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/config.1  | 
|  pci- C.W.1 dss/v/3.2.1/PCI  |  controllo di CloudWatch sicurezza/ .1  | 
|  pci- .DMS.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/DMS.1  | 
|  pci- CE2.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/EC2.1  | 
|  pci- EC 2.2 dss/v/3.2.1/PCI  |  Controllo di sicurezza/EC2.2  | 
|  pci- EC 2.4 dss/v/3.2.1/PCI  |  Controllo di sicurezza/EC 2.12  | 
|  pci- EC2.5 dss/v/3.2.1/PCI  |  Controllo di sicurezza/EC 2.13  | 
|  pci- EC2.6 dss/v/3.2.1/PCI  |  Controllo di sicurezza/EC2.6  | 
|  pci-. dss/v/3.2.1/PCI ELBv21.  |  Controllo di sicurezza/ELB.1  | 
|  pci- ES.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/ES.2  | 
|  pci- ES.2 dss/v/3.2.1/PCI  |  Controllo di sicurezza/ES.1  | 
|  pci-. dss/v/3.2.1/PCI GuardDuty1.  |  controllo di sicurezza/ .1 GuardDuty  | 
|  pci- .I.A.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.4  | 
|  pci- I.AM.2 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.2  | 
|  pci- I.AM.3 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.1  | 
|  pci- I.AM.4 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.6  | 
|  pci- I.A.5 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.9  | 
|  pci- I.A.6 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.19  | 
|  pci- I.A.7 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.8  | 
|  pci- I.AM.8 dss/v/3.2.1/PCI  |  Controllo di sicurezza/IAM.10  | 
|  pci- KMS.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/KMS.4  | 
|  pci- dss/v/3.2.1/PCI .Lambda.1  |  Controllo di sicurezza/LambdA.1  | 
|  pci- dss/v/3.2.1/PCI .Lambda.2  |  Controllo di sicurezza/LambdA.3  | 
|  pci-. Ricerca aperta. 1 dss/v/3.2.1/PCI  |  Security-Control/OpenSearch.2  | 
|  pci- .Opensearch.2 dss/v/3.2.1/PCI  |  Security-Control/OpenSearch.1  | 
|  pci- RDS 1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/RDS.1  | 
|  pci- RDS.2 dss/v/3.2.1/PCI  |  Controllo di sicurezza/RDS.2  | 
|  pci- .Redshift.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/redshift.1  | 
|  pci- S.3.1 dss/v/3.2.1/PCI  |  Controlli di sicurezza/s3.3  | 
|  pci- S3.2 dss/v/3.2.1/PCI  |  Controlli di sicurezza/s3.2  | 
|  pci- S.3.3 dss/v/3.2.1/PCI  |  Controlli di sicurezza/s3.7  | 
|  pic-S 3.5 dss/v/3.2.1/PCI  |  Controlli di sicurezza/s3.5  | 
|  pci- S3.6 dss/v/3.2.1/PCI  |  Controlli di sicurezza/s3.1  | 
|  pci-. dss/v/3.2.1/PCI SageMaker1.  |  controllo di sicurezza/ .1 SageMaker  | 
|  pci- .SSM.1 dss/v/3.2.1/PCI  |  Controllo di sicurezza/SSM.2  | 
|  pci- SSM.2 dss/v/3.2.1/PCI  |  Controllo di sicurezza/SSM.3  | 
|  pci- S.SM.3 dss/v/3.2.1/PCI  |  Controllo di sicurezza/SSM.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ACM  |  Controllo di sicurezza/ACM.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/APIGateway  |  controllo di sicurezza/ .1 APIGateway  | 
|  service-managed-aws-control- 2tower/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .2 APIGateway  | 
|  service-managed-aws-control- .3 tower/v/1.0.0/APIGateway  |  controllo di sicurezza/ .3 APIGateway  | 
|  service-managed-aws-control- 4tower/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .4 APIGateway  | 
|  service-managed-aws-control- 5tower/v/1.0.0/APIGateway.  |  controllo di sicurezza/ .5 APIGateway  | 
|  service-managed-aws-control- 1tower/v/1.0.0/AutoScaling.  |  controllo di sicurezza/ .1 AutoScaling  | 
|  service-managed-aws-control- 2tower/v/1.0.0/AutoScaling.  |  controllo di sicurezza/ .2 AutoScaling  | 
|  service-managed-aws-control- .3 tower/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .3 AutoScaling  | 
|  service-managed-aws-control- 4tower/v/1.0.0/AutoScaling.  |  controllo di sicurezza/ .4 AutoScaling  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Autoscaling.  |  Controllo di sicurezza/scalabilità automatica. 5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .6AutoScaling.  | 
|  service-managed-aws-control- .9 tower/v/1.0.0/AutoScaling  |  controllo di sicurezza/ .9 AutoScaling  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .1 CloudTrail  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .2 CloudTrail  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .4CloudTrail.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CloudTrail.  |  controllo di sicurezza/ .5CloudTrail.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .1CodeBuild.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .2CodeBuild.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .4CodeBuild.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CodeBuild.  |  controllo di sicurezza/ .5CodeBuild.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/DMS.  |  Controllo di sicurezza/DMS.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/DynamoDB  |  Controllo della sicurezza/DynamoDB.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/DynamoDB  |  Controllo della sicurezza/DynamoDB.2  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.1  | 
|  service-managed-aws-control- 2.2 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.2  | 
|  service-managed-aws-control- 2.3 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.3  | 
|  service-managed-aws-control- 2.4 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.4  | 
|  service-managed-aws-control- 2.6 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC2.6  | 
|  service-managed-aws-control- 2,7 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.7  | 
|  service-managed-aws-control- 2.8 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC2.8  | 
|  service-managed-aws-control- 2,9 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.9  | 
|  service-managed-aws-control- 2,10 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC2.10  | 
|  service-managed-aws-control- 2,15 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.15  | 
|  service-managed-aws-control- 2.16 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.16  | 
|  service-managed-aws-control- 2.17 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.17  | 
|  service-managed-aws-control- 2.18 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC2.18  | 
|  service-managed-aws-control- 2.19 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.19  | 
|  service-managed-aws-control- 2.20 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC2.20  | 
|  service-managed-aws-control- 2.21 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.21  | 
|  service-managed-aws-control- 2.22 tower/v/1.0.0/EC  |  Controllo di sicurezza/EC 2.22  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ECR  |  Controllo di sicurezza/ECR.3  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.5  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.8  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.10  | 
|  service-managed-aws-control- .12 tower/v/1.0.0/ECS  |  Controllo di sicurezza/ECS.12  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/EFS  |  Controllo di sicurezza/EFS.4  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/EKS  |  Controllo di sicurezza/EKS.2  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.9  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.10  | 
|  service-managed-aws-control- .12 tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.12  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.13  | 
|  service-managed-aws-control- 1.4 tower/v/1.0.0/ELB  |  Controllo di sicurezza/ELB.14  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/ELBv  |  controllo di sicurezza/ 1ELBv2.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/EMR.  |  Controllo di sicurezza/EMR.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ES  |  Controllo di sicurezza/ES.8  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ElasticBeanstalk  |  controllo di sicurezza/ .1ElasticBeanstalk.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ElasticBeanstalk.  |  controllo di sicurezza/ .2ElasticBeanstalk.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/GuardDuty.  |  controllo di sicurezza/ .1GuardDuty.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/IAM.  |  Controllo di sicurezza/IAM.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.8  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/IAM  |  Controllo di sicurezza/IAM.21  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Kinesis  |  Controllo di sicurezza/Kinesis.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/KMS  |  Controllo di sicurezza/KMS.3  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.2  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/Lambda  |  Controllo di sicurezza/LambdA.5  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/NetworkFirewall  |  controllo di sicurezza/ .3 NetworkFirewall  | 
|  service-managed-aws-control- 4tower/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .4NetworkFirewall.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .5NetworkFirewall.  | 
|  service-managed-aws-control- 6tower/v/1.0.0/NetworkFirewall.  |  controllo di sicurezza/ .6NetworkFirewall.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Opensearch.  |  Security-Control/OpenSearch.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/Opensearch  |  Security-Control/OpenSearch.8  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.6  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.9  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.10  | 
|  service-managed-aws-control- .11 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.11  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.13  | 
|  service-managed-aws-control- 1.7 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.17  | 
|  service-managed-aws-control- 1.8 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.18  | 
|  service-managed-aws-control- .19 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.19  | 
|  service-managed-aws-control- 2.0 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.20  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.21  | 
|  service-managed-aws-control- 2.2 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.22  | 
|  service-managed-aws-control- 2.3 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.23  | 
|  service-managed-aws-control- 2.5 tower/v/1.0.0/RDS  |  Controllo di sicurezza/RDS.25  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.2  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.4  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/Redshift  |  Controllo di sicurezza/redshift.9  | 
|  service-managed-aws-control- 3.1 tower/v/1.0.0/S  |  Controlli di sicurezza/S3.1  | 
|  service-managed-aws-control- 3.2 tower/v/1.0.0/S  |  Controlli di sicurezza/S3.2  | 
|  service-managed-aws-control- 3.3 tower/v/1.0.0/S  |  Controlli di sicurezza/S3.3  | 
|  service-managed-aws-control- 3.5 tower/v/1.0.0/S  |  Controlli di sicurezza/S 3.5  | 
|  service-managed-aws-control- 3.6 tower/v/1.0.0/S  |  Controllo di sicurezza/S3.6  | 
|  service-managed-aws-control- 3.8 tower/v/1.0.0/S  |  Controllo di sicurezza/S3.8  | 
|  service-managed-aws-control- 3.9 tower/v/1.0.0/S  |  Controllo di sicurezza/S3.9  | 
|  service-managed-aws-control- 3.12 tower/v/1.0.0/S  |  Controllo di sicurezza/S3.12  | 
|  service-managed-aws-control- 3.13 tower/v/1.0.0/S  |  Controllo di sicurezza/S3.13  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/SageMaker  |  controllo di sicurezza/ .1SageMaker.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .1SecretsManager.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .2SecretsManager.  | 
|  service-managed-aws-control- .3 tower/v/1.0.0/SecretsManager  |  controllo di sicurezza/ .3 SecretsManager  | 
|  service-managed-aws-control- 4tower/v/1.0.0/SecretsManager.  |  controllo di sicurezza/ .4SecretsManager.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SQS.  |  Controllo di sicurezza/SQS.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/SSM  |  Controllo di sicurezza/SSM.4  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/WAF  |  Controllo di sicurezza/WAF.4  | 

## In che modo il consolidamento influisce sul controllo e sui titoli IDs
<a name="securityhub-findings-format-changes-ids-titles"></a>

Controlli consolidati La visualizzazione e i risultati consolidati del controllo standardizzano il controllo IDs e i titoli tra gli standard. I termini *Security Control ID* e *Security Control Title* si riferiscono a questi valori indipendenti dallo standard.

La console Security Hub CSPM mostra titoli di controllo IDs e controllo di sicurezza indipendenti dagli standard, indipendentemente dal fatto che i risultati del controllo consolidato siano abilitati o disabilitati per l'account. Tuttavia, i risultati del CSPM di Security Hub contengono titoli di controllo specifici per PCI DSS e CIS v1.2.0, se i risultati del controllo consolidato sono disabilitati per l'account. Inoltre, i risultati CSPM di Security Hub contengono l'ID di controllo e l'ID di controllo di sicurezza specifici dello standard. Per esempi di come il consolidamento influenzi i risultati del controllo, consulta. [Esempi di risultati di controllo](sample-control-findings.md)

Per i controlli che fanno parte dello [standard AWS Control Tower gestito dai servizi](service-managed-standard-aws-control-tower.md), il prefisso `CT.` viene rimosso dall'ID del controllo e dal titolo nei risultati quando i risultati del controllo consolidato sono abilitati.

Per disabilitare un controllo di sicurezza in Security Hub CSPM, è necessario disabilitare tutti i controlli standard che corrispondono al controllo di sicurezza. La tabella seguente mostra la mappatura del controllo IDs e dei titoli di sicurezza rispetto ai controlli e ai titoli specifici dello standard. IDs IDs e i titoli per i controlli che appartengono allo standard AWS Foundational Security Best Practices (FSBP) sono già indipendenti dallo standard. Per una mappatura dei controlli in base ai requisiti di Center for Internet Security (CIS) v3.0.0, vedere. [Mappatura dei controlli ai requisiti CIS in ogni versione](cis-aws-foundations-benchmark.md#cis-version-comparison) Per eseguire i propri script su questa tabella, è possibile [scaricarla](samples/Consolidation_ID_Title_Changes.csv.zip) come file.csv.


| Standard | ID e titolo di controllo standard | ID e titolo del controllo di sicurezza | 
| --- | --- | --- | 
|  CIS versione 1.2.0  |  1.1 Evita l'uso dell'utente root  |  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS versione 1.2.0  |  1.10 Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password  |  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)  | 
|  CIS versione 1.2.0  |  1.11 Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno  |  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)  | 
|  CIS versione 1.2.0  |  1.12 Assicurati che non esista alcuna chiave di accesso per l'utente root  |  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)  | 
|  CIS versione 1.2.0  |  1.13 Assicurarsi che l'MFA sia abilitata per l'utente root  |  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  | 
|  CIS versione 1.2.0  |  1.14 Assicurarsi che l'MFA hardware sia abilitato per l'utente root  |  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)  | 
|  CIS versione 1.2.0  |  1.16 Assicurati che le policy IAM siano collegate solo a gruppi o ruoli  |  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)  | 
|  CIS versione 1.2.0  |  1.2 Assicurati che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM che dispongono di una password di console  |  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)  | 
|  CIS versione 1.2.0  |  1.20 Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto  |  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)  | 
|  CIS versione 1.2.0  |  1.22 Assicurati che non vengano create politiche IAM che consentano privilegi amministrativi completi «\$1: \$1»  |  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)  | 
|  CIS versione 1.2.0  |  1.3 Assicurati che le credenziali non utilizzate per 90 giorni o più siano disabilitate  |  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)  | 
|  CIS versione 1.2.0  |  1.4 Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno  |  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)  | 
|  CIS versione 1.2.0  |  1.5 Assicurati che la politica delle password di IAM richieda almeno una lettera maiuscola  |  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)  | 
|  CIS versione 1.2.0  |  1.6 Assicurati che la politica delle password IAM richieda almeno una lettera minuscola  |  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)  | 
|  CIS versione 1.2.0  |  1.7 Assicurati che la politica delle password IAM richieda almeno un simbolo  |  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)  | 
|  CIS versione 1.2.0  |  1.8 Assicurati che la politica delle password IAM richieda almeno un numero  |  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)  | 
|  CIS versione 1.2.0  |  1.9 Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14  |  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)  | 
|  CIS versione 1.2.0  |  2.1 Ensure CloudTrail è abilitato in tutte le regioni  |  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS versione 1.2.0  |  2.2 Assicurarsi che la convalida dei file di CloudTrail registro sia abilitata  |  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS versione 1.2.0  |  2.3 Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico  |  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS versione 1.2.0  |  2.4 Assicurati che i CloudTrail percorsi siano integrati con i log CloudWatch   |  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS versione 1.2.0  |  2.5 Assicurati che AWS Config sia abilitato  |  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | 
|  CIS versione 1.2.0  |  2.6 Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail   |  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS versione 1.2.0  |  2.7 Assicurati che i CloudTrail log siano crittografati quando sono inattivi utilizzando KMS CMKs  |  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS versione 1.2.0  |  2.8 Assicurati che la rotazione per il cliente creato CMKs sia abilitata  |  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)  | 
|  CIS versione 1.2.0  |  2.9 Assicurati che la registrazione del flusso VPC sia abilitata in tutti VPCs  |  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)  | 
|  CIS versione 1.2.0  |  3.1 Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate  |  [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS versione 1.2.0  |  3.10 Assicurarsi che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza  |  [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS versione 1.2.0  |  3.11 Assicurarsi che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)  |  [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS versione 1.2.0  |  3.12 Assicurarsi che esistano un filtro metrico di registro e un allarme per le modifiche ai gateway di rete  |  [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS versione 1.2.0  |  3.13 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche alla tabella di percorso  |  [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS versione 1.2.0  |  3.14 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC  |  [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS versione 1.2.0  |  3.2 Assicurarsi che esistano un filtro metrico di registro e un allarme per l'accesso alla Console di gestione senza MFA  |  [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS versione 1.2.0  |  3.3 Assicurarsi che esistano un filtro metrico di registro e un allarme per l'utilizzo da parte dell'utente root  |  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS versione 1.2.0  |  3.4 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle politiche IAM  |  [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS versione 1.2.0  |  3.5 Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione  |  [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS versione 1.2.0  |  3.6 Assicurati che esistano un filtro metrico di registro e un allarme per gli errori di autenticazione Console di gestione AWS   |  [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS versione 1.2.0  |  3.7 Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs  |  [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS versione 1.2.0  |  3.8 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy relative ai bucket S3  |  [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS versione 1.2.0  |  3.9 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla configurazione AWS Config   |  [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS versione 1.2.0  |  4.1 Assicurarsi che nessun gruppo di sicurezza consenta l'ingresso dalla porta 0.0.0.0/0 alla porta 22  |  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  | 
|  CIS versione 1.2.0  |  4.2 Assicurarsi che nessun gruppo di sicurezza consenta l'ingresso dalla porta 0.0.0.0/0 alla porta 3389  |  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)  | 
|  CIS versione 1.2.0  |  4.3 Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico  |  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 Assicurati che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM che dispongono di una password di console  |  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno  |  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 Assicurati che le politiche IAM che consentono i privilegi amministrativi «\$1: \$1» completi non siano allegate  |  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto  |  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 Assicurati che non esista alcuna chiave di accesso all'account utente root  |  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 Assicurarsi che l'MFA sia abilitata per l'account utente root  |  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.6 Assicurarsi che l'MFA hardware sia abilitata per l'account utente root  |  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 Eliminare l'uso dell'utente root per le attività amministrative e quotidiane  |  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 Assicurati che la politica delle password IAM richieda una lunghezza minima di 14 o superiore  |  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 Assicurati che la politica delle password IAM impedisca il riutilizzo delle password  |  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 Assicurati che S3 Bucket Policy sia impostata per negare le richieste HTTP  |  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 L'impostazione S3 Block Public Access deve essere abilitata  |  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 L'impostazione S3 Block Public Access deve essere abilitata a livello di bucket  |  [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 Assicurarsi che la crittografia dei volumi EBS sia abilitata  |  [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 Assicurarsi che la crittografia sia abilitata per le istanze RDS  |  [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 Ensure CloudTrail è abilitato in tutte le regioni  |  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 Assicurarsi che la convalida dei file di CloudTrail registro sia abilitata  |  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 Assicurati che i CloudTrail percorsi siano integrati con i registri CloudWatch   |  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 Ensure AWS Config è abilitato in tutte le regioni  |  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail   |  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 Assicurati che i CloudTrail log siano crittografati quando sono inattivi utilizzando KMS CMKs  |  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 Assicurati che la rotazione per il cliente creato sia abilitata CMKs   |  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 Assicurarsi che la registrazione del flusso VPC sia abilitata in tutti VPCs  |  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM  |  [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche alla configurazione CloudTrail   |  [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 Assicurarsi che esistano un filtro metrico di registro e un allarme per gli errori di autenticazione Console di gestione AWS   |  [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs  |  [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla policy dei bucket S3  |  [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche alla configurazione AWS Config   |  [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza  |  [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 Assicurarsi che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)  |  [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete  |  [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte  |  [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC  |  [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 Assicurarsi che nessuna rete ACLs consenta l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server  |  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico  |  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI. AutoScaling.1 I gruppi di scalabilità automatica associati a un sistema di bilanciamento del carico devono utilizzare i controlli dello stato del sistema di bilanciamento del carico  |  [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.1 CloudTrail i log devono essere crittografati quando sono inattivi utilizzando AWS KMS CMKs  |  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.2 CloudTrail dovrebbe essere abilitato  |  [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.3 la convalida dei file di CloudTrail registro deve essere abilitata  |  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.4 i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch   |  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.1 CodeBuild GitHub o il repository di origine di Bitbucket dovrebbe usare URLs OAuth  |  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.2 Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato  |  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |  PCI.config.1 dovrebbe AWS Config essere abilitato  |  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1 Dovrebbero esistere un filtro metrico di log e un allarme per l'utilizzo da parte dell'utente «root»  |  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  Le istanze di replica PCI.DMS.1 Database Migration Service non devono essere pubbliche  |  [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  Le istantanee EBS PCI.EC2.1 non devono essere ripristinabili pubblicamente  |  [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  Il gruppo di sicurezza VPC predefinito PCI.EC2.2 dovrebbe vietare il traffico in entrata e in uscita  |  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.4 EIPs Unused EC2 deve essere rimosso  |  [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  I gruppi di sicurezza PCI.EC2.5 non dovrebbero consentire l'ingresso da 0.0.0.0/0 alla porta 22  |  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  La registrazione del flusso VPC PCI.EC2.6 deve essere abilitata in tutti VPCs  |  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  PCI. ELBv2.1 L'Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS  |  [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  I domini PCI.ES.1 Elasticsearch devono trovarsi in un VPC  |  [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  I domini PCI.ES.2 Elasticsearch devono avere la crittografia a riposo abilitata  |  [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  PCI. GuardDuty.1 GuardDuty dovrebbe essere abilitato  |  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  La chiave di accesso utente root PCI.IAM.1 IAM non dovrebbe esistere  |  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  Gli utenti IAM PCI.IAM.2 non devono avere policy IAM collegate  |  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  Le politiche IAM PCI.IAM.3 non dovrebbero consentire privilegi amministrativi «\$1» completi  |  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  L'MFA hardware PCI.IAM.4 deve essere abilitato per l'utente root  |  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  La MFA virtuale PCI.IAM.5 deve essere abilitata per l'utente root  |  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  La MFA PCI.IAM.6 deve essere abilitata per tutti gli utenti IAM  |  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  Le credenziali utente IAM PCI.IAM.7 devono essere disabilitate se non utilizzate entro un numero predefinito di giorni  |  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  Le politiche di password PCI.IAM.8 per gli utenti IAM devono avere configurazioni avanzate  |  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  La rotazione della chiave principale del cliente (CMK) PCI.KMS.1 deve essere abilitata  |  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  Le funzioni PCI.Lambda.1 Lambda dovrebbero vietare l'accesso pubblico  |  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  Le funzioni Lambda PCI.Lambda.2 devono essere in un VPC  |  [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |  I domini PCI.openSearch.1 OpenSearch devono trovarsi in un VPC  |  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  Le istantanee EBS PCI.OpenSearch.2 non dovrebbero essere ripristinabili pubblicamente  |  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  Lo snapshot RDS PCI.RDS.1 deve essere privato  |  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  Le istanze DB RDS PCI.RDS.2 devono vietare l'accesso pubblico  |  [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.Redshift.1 I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico  |  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  I bucket PCI.S3.1 S3 dovrebbero vietare l'accesso pubblico in scrittura  |  [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  I bucket PCI.S3.2 S3 devono vietare l'accesso pubblico in lettura  |  [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  I bucket PCI.S3.3 S3 devono avere la replica tra regioni abilitata  |  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  I bucket PCI.S3.5 S3 dovrebbero richiedere che le richieste utilizzino Secure Socket Layer  |  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  L'impostazione PCI.S3.6 S3 Block Public Access deve essere abilitata  |  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  PCI. SageMaker.1 Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet  |  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  Le istanze PCI.SSM.1 EC2 gestite da Systems Manager dovrebbero avere uno stato di conformità alla patch pari a COMPLIANT dopo l'installazione della patch  |  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  Le istanze PCI.SSM.2 EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT  |  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  Le istanze PCI.SSM.3 EC2 devono essere gestite da AWS Systems Manager  |  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## Aggiornamento dei flussi di lavoro per il consolidamento
<a name="securityhub-findings-format-changes-prepare"></a>

Se i flussi di lavoro non si basano sul formato specifico di alcun campo nei risultati di controllo, non è richiesta alcuna azione.

Se i flussi di lavoro si basano sul formato specifico di uno o più campi nei risultati del controllo, come indicato nelle tabelle precedenti, è necessario aggiornare i flussi di lavoro. Ad esempio, se hai creato una EventBridge regola Amazon che ha attivato un'azione per un ID di controllo specifico, ad esempio richiamare una AWS Lambda funzione se l'ID di controllo è uguale a CIS 2.7, aggiorna la regola utilizzando CloudTrail .2, che è il valore del campo per quel controllo. `Compliance.SecurityControlId`

Se hai creato [approfondimenti personalizzati](securityhub-custom-insights.md) che utilizzano uno dei campi o dei valori modificati, aggiorna tali approfondimenti per utilizzare i nuovi campi o valori.

# Attributi ASFF di primo livello obbligatori
<a name="asff-required-attributes"></a>

I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono necessari per tutti i risultati in Security Hub CSPM. Per ulteriori informazioni su questi attributi, vedere il *riferimento [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)all'API AWS Security Hub*.

## AwsAccountId
<a name="AwsAccountId"></a>

L' Account AWS ID a cui si riferisce il risultato.

**Esempio**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

Indica quando è stato creato il potenziale problema o evento di sicurezza rilevato da un risultato.

**Esempio**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## Description
<a name="Description"></a>

La descrizione di una ricerca. Questo campo può essere testo boilerplate non specifico o dettagli che sono specifici dell'istanza del risultato.

Per i risultati di controllo generati da Security Hub CSPM, questo campo fornisce una descrizione del controllo.

Questo campo non fa riferimento a uno standard se si attivano i risultati del controllo [consolidato](controls-findings-create-update.md#consolidated-control-findings).

**Esempio**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

L'identificatore per il componente specifico della soluzione (un'unità di logica discreta) che ha generato un risultato.

Per i risultati di controllo generati da Security Hub CSPM, questo campo non fa riferimento a uno standard se attivi i risultati del controllo [consolidato](controls-findings-create-update.md#consolidated-control-findings).

**Esempio**

```
"GeneratorId": "security-control/Config.1"
```

## Id
<a name="Id"></a>

L'identificatore specifico del prodotto per un risultato. Per i risultati di controllo generati da Security Hub CSPM, questo campo fornisce l'Amazon Resource Name (ARN) del risultato.

Questo campo non fa riferimento a uno standard se attivi i risultati del controllo [consolidato](controls-findings-create-update.md#consolidated-control-findings).

**Esempio**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

L'Amazon Resource Name (ARN) generato da Security Hub CSPM che identifica in modo univoco un prodotto di ricerca di terze parti dopo la registrazione del prodotto presso Security Hub CSPM.

Il formato di questo campo è `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+  Servizi AWS Affinché siano integrati con Security Hub CSPM, `company-id` devono essere "`aws`«e `product-id` devono essere il nome del servizio AWS pubblico. Poiché AWS i prodotti e i servizi non sono associati a un account, la `account-id` sezione dell'ARN è vuota. Servizi AWS che non sono ancora integrati con Security Hub CSPM sono considerati prodotti di terze parti.
+ Per prodotti pubblici, `company-id` e `product-id` devono essere i valori ID specificati al momento della registrazione.
+ Per prodotti privati, `company-id` deve essere l'ID account. `product-id` deve essere la parola riservata "default" o l'ID specificato al momento della registrazione.

**Esempio**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## Resources
<a name="Resources"></a>

L'`Resources`array di oggetti fornisce una serie di tipi di dati relativi alle risorse che descrivono le AWS risorse a cui si riferisce il risultato. Per i dettagli sui campi che un `Resources` oggetto può contenere, inclusi i campi obbligatori, vedere il *riferimento [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)all'API AWS Security Hub*. Per esempi di `Resources` oggetti specifici Servizi AWS, vedere[ResourcesOggetto ASFF](asff-resources.md).

**Esempio**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

La versione dello schema per cui un risultato è formattato. Il valore di questo campo deve essere una delle versioni pubblicate ufficialmente identificate da AWS. Nella versione corrente, la versione dello schema AWS Security Finding Format è`2018-10-08`.

**Esempio**

```
"SchemaVersion": "2018-10-08"
```

## Gravità
<a name="Severity"></a>

Definisce l'importanza di un risultato. Per i dettagli su questo oggetto, [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)consulta l'*AWS Security Hub API Reference*.

`Severity`è sia un oggetto di primo livello in una ricerca che annidato sotto l'`FindingProviderFields`oggetto.

Il valore dell'`Severity`oggetto di primo livello per un risultato deve essere aggiornato solo utilizzando l'API. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

Per fornire informazioni sulla gravità, i provider di ricerca devono aggiornare l'`Severity`oggetto sotto `FindingProviderFields` quando effettuano una richiesta [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API.
 Se una `BatchImportFindings` richiesta per un nuovo risultato fornisce solo `Label` o fornisce solo`Normalized`, Security Hub CSPM compila automaticamente il valore dell'altro campo. I `Original` campi `Product` e possono anche essere compilati.

Se l'`Finding.Severity`oggetto di primo livello è presente ma non lo `Finding.FindingProviderFields` è, Security Hub CSPM crea l'`FindingProviderFields.Severity`oggetto e copia l'intero `Finding.Severity object` in esso. Ciò garantisce che i dettagli originali forniti dal provider vengano mantenuti all'interno della `FindingProviderFields.Severity` struttura, anche se l'oggetto di primo livello viene sovrascritto. `Severity` 

La gravità del risultato non considera la criticità degli asset coinvolti o della risorsa sottostante. La criticità è definita come il livello di importanza delle risorse associate al risultato. Ad esempio, una risorsa associata a un'applicazione mission critical ha una criticità maggiore rispetto a quella associata ai test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizza il campo `Criticality`.

Si consiglia di utilizzare le seguenti indicazioni per tradurre i punteggi di gravità nativi dei risultati nel valore dell'ASFF. `Severity.Label`
+ `INFORMATIONAL`— Questa categoria può includere un risultato relativo all'identificazione `PASSED` di `WARNING` dati sensibili o di `NOT AVAILABLE` controllo.
+ `LOW`— Risultati che potrebbero portare a future compromessi. Ad esempio, questa categoria può includere vulnerabilità, punti deboli di configurazione e password esposte.
+ `MEDIUM`— Risultati che indicano un compromesso attivo, ma nessuna indicazione che un avversario abbia raggiunto i propri obiettivi. Ad esempio, questa categoria può includere attività legate a malware, attività di hacking e rilevamento di comportamenti insoliti.
+ `HIGH`oppure `CRITICAL` — Risultati che indicano che un avversario ha raggiunto i propri obiettivi, come la perdita o la compromissione attiva dei dati o l'interruzione del servizio.

**Esempio**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## Titolo
<a name="Title"></a>

Il titolo di un risultato. Questo campo può contenere testo boilerplate non specifico o dettagli specifici per l'istanza del risultato.

Per i risultati del controllo, questo campo fornisce il titolo del controllo. Questo campo non fa riferimento a uno standard se attivi i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings).

**Esempio**

```
"Title": "AWS Config should be enabled"
```

## Tipi
<a name="Types"></a>

Uno o più tipi di risultati nel formato `namespace/category/classifier` che classificano un risultato. Questo campo non fa riferimento a uno standard se attivi i risultati del [controllo consolidato](controls-findings-create-update.md#consolidated-control-findings).

`Types`deve essere aggiornato solo utilizzando l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.

La ricerca di fornitori che desiderano fornire un valore per `Types` deve utilizzare l'`Types`attributo sotto [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).

Nell'elenco seguente, i punti elenco di primo livello sono namespace, i punti elenco di secondo livello sono categorie e i punti elenco di terzo livello sono classificatori. Consigliamo che i provider di ricerca utilizzino namespace definiti per facilitare l'ordinamento e il raggruppamento dei risultati. È possibile utilizzare anche le categorie e i classificatori definiti, ma non sono obbligatori. Solo lo spazio dei nomi Software and Configuration Checks dispone di classificatori definiti.

È possibile definire un percorso parziale per. namespace/category/classifier Ad esempio, i seguenti tipi di ricerca sono tutti validi:
+ TTPs
+ TTPs/Evasione difensiva
+ TTPs/Defense Evasion/CloudTrailStopped

Le categorie di tattiche, tecniche e procedure (TTPs) nell'elenco seguente sono allineate al [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/) MatrixTM. Lo spazio dei nomi Unusual Behaviors riflette comportamenti generali insoliti, come anomalie statistiche generali, e non è allineato con un TTP specifico. Tuttavia, è possibile classificare un risultato sia in base ai comportamenti insoliti che ai tipi di risultati. TTPs 

**Elenco di namespace, categorie e classificatori:**
+ Software and Configuration Checks
  + Vulnerabilità
    + CVE
  + AWS Migliori pratiche di sicurezza
    + Network Reachability
    + Runtime Behavior Analysis
  + Industry and Regulatory Standards
    + AWS Migliori pratiche di sicurezza di base
    + CIS Host Hardening Benchmarks
    + Benchmark CIS Foundations AWS 
    + PCI-DSS
    + Controlli Cloud Security Alliance
    + Controlli ISO 90001
    + Controlli ISO 27001
    + Controlli ISO 27017
    + Controlli ISO 27018
    + SOC 1
    + SOC 2
    + Controlli HIPAA (USA)
    + Controlli NIST 800-53 (USA)
    + Controlli NIST CSF (USA)
    + Controlli IRAP (Australia)
    + Controlli K-ISMS (Corea)
    + Controlli MTCS (Singapore)
    + Controlli FISC (Giappone)
    + Controlli My Number Act (Giappone)
    + Controlli ENS (Spagna)
    + Controlli Cyber Essentials Plus (Regno Unito)
    + Controlli G-Cloud (Regno Unito)
    + Controlli C5 (Germania)
    + Controlli IT-Grundschutz (Germania)
    + Controlli GDPR (Europa)
    + Controlli TISAX (Europa)
  + Gestione delle patch
+ TTPs
  + Accesso iniziale
  + Esecuzione
  + Persistenza
  + Escalation dei privilegi
  + Defense Evasion
  + Accessi a credenziali
  + Individuazione
  + Movimento laterale
  + Raccolta
  + Comando e controllo
+ Effetti
  + Esposizione di dati
  + Esfiltrazione di dati 
  + Distruzione di dati 
  + Denial of Service 
  + Consumo di risorse
+ Comportamenti insoliti
  + Applicazione
  + Flusso di rete
  + IP address (Indirizzo IP)
  + Utente
  + VM
  + Contenitore
  + Serverless
  + Processo
  + Database
  + Dati 
+ Identificazioni dati sensibili
  + Informazioni che consentono l'identificazione personale degli utenti
  + Password
  + Note legali
  + Servizi finanziari
  + Sicurezza
  + Business

**Esempio**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

Indica quando il fornitore di ricerca ha aggiornato l'ultima volta il record dei risultati.

Questo timestamp indica l'ora in cui il record di ricerca è stato aggiornato l'ultima volta o l'ultimo aggiornamento. Di conseguenza, può differire dal `LastObservedAt` timestamp, che indica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta.

Quando si aggiorna il record di risultato, è necessario aggiornare il timestamp al timestamp corrente. Al momento della creazione di un record di ricerca, i timestamp `CreatedAt` e i `UpdatedAt` timestamp devono essere gli stessi. Dopo un aggiornamento del record di ricerca, il valore di questo campo deve essere più recente di tutti i valori precedenti in esso contenuti.

Nota che `UpdatedAt` non può essere aggiornato utilizzando l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione. È possibile aggiornarlo solo utilizzando l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione.

**Esempio**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# Attributi ASFF di primo livello opzionali
<a name="asff-top-level-attributes"></a>

I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono opzionali per i risultati in Security Hub CSPM. Per ulteriori informazioni su questi attributi, vedere il *riferimento [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)all'API AWS Security Hub*.

## Azione
<a name="asff-action"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)oggetto fornisce dettagli su un'azione che influisce o è stata intrapresa su una risorsa.

**Esempio**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

Il Account AWS nome a cui si applica il risultato.

**Esempio**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

Il nome dell'azienda del prodotto che ha generato il risultato. Per i risultati basati sul controllo, la società è. AWS

Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) L'eccezione è quando si utilizza un'integrazione personalizzata. Per informazioni, consulta [Integrazione di Security Hub CSPM con prodotti personalizzati](securityhub-custom-providers.md).

Quando si utilizza la console CSPM di Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza questo attributo. Quando si utilizza l'API CSPM Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza l'`aws/securityhub/CompanyName`attributo sotto. `ProductFields` Security Hub CSPM non sincronizza questi due attributi.

**Esempio**

```
"CompanyName": "AWS"
```

## Conformità
<a name="asff-compliance"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html)oggetto fornisce in genere dettagli su un risultato di controllo, come gli standard applicabili e lo stato del controllo.

**Esempio**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## Confidence
<a name="asff-confidence"></a>

La probabilità che un risultato identifichi accuratamente il comportamento o il problema che intendeva identificare.

`Confidence`deve essere aggiornato solo utilizzando. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

La ricerca di fornitori che desiderano fornire un valore per `Confidence` dovrebbe utilizzare l'`Confidence`attributo sotto`FindingProviderFields`. Per informazioni, consulta [Aggiornamento dei risultati con FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Confidence`viene assegnato un punteggio da 0 a 100 utilizzando una scala di rapporti. 0 significa confidenza dello 0% e 100 indica una confidenza del 100 percento. Ad esempio, un rilevamento di un'esfiltrazione di dati basato su una deviazione statistica del traffico di rete ha una bassa affidabilità perché non è stata verificata un'effettiva esfiltrazione.

**Esempio**

```
"Confidence": 42
```

## Criticità
<a name="asff-criticality"></a>

Il livello di importanza assegnato alle risorse associate a un risultato.

`Criticality`deve essere aggiornato solo chiamando l'operazione [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Non aggiornare questo oggetto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

La ricerca di fornitori che desiderano fornire un valore per `Criticality` deve utilizzare l'`Criticality`attributo sotto`FindingProviderFields`. Per informazioni, consulta [Aggiornamento dei risultati con FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Criticality`viene assegnato un punteggio da 0 a 100, utilizzando una scala di rapporti che supporta solo numeri interi completi. Un punteggio 0 indica che le risorse sottostanti non presentano criticità, mentre un punteggio 100 è riservato per la maggior parte delle risorse critiche.

Per ogni risorsa, al momento dell'assegnazione, tenete presente quanto segue: `Criticality`
+ La risorsa interessata contiene dati sensibili (ad esempio, un bucket S3 con PII)? 
+ La risorsa interessata consente a un avversario di approfondire il proprio accesso o di estendere le proprie capacità per svolgere attività dannose aggiuntive (ad esempio, un account sysadmin compromesso)?
+ La risorsa è un asset critico per l'azienda (ad esempio, un sistema aziendale chiave che se compromesso potrebbe avere un impatto notevole sui profitti)?

Puoi utilizzare le linee guida seguenti:
+ Una risorsa che alimenta sistemi mission-critical o che contiene dati altamente sensibili può essere valutata nell'intervallo 75-100.
+ Una risorsa che alimenta sistemi importanti (ma non critici) o che contiene dati moderatamente importanti può essere valutata nell'intervallo 25-74.
+ Una risorsa che alimenta sistemi non importanti o che contiene dati non sensibili dovrebbe avere un punteggio compreso tra 0 e 24.

**Esempio**

```
"Criticality": 99
```

## Rilevamento
<a name="asff-detection"></a>

L'`Detection`oggetto fornisce dettagli sulla sequenza di attacco rilevata da Amazon GuardDuty Extended Threat Detection. GuardDuty genera una sequenza di attacco che rileva quando più eventi si allineano a un'attività potenzialmente sospetta. Per ricevere i risultati della sequenza di GuardDuty attacco in AWS Security Hub CSPM, devi averlo GuardDuty abilitato nel tuo account. Per ulteriori informazioni, consulta [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) nella *Amazon GuardDuty User Guide*.

**Esempio**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields`include i seguenti attributi:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

I campi precedenti sono annidati sotto l'`FindingProviderFields`oggetto, ma hanno analoghi con lo stesso nome dei campi ASFF di primo livello. Quando un nuovo risultato viene inviato a Security Hub CSPM da un provider di ricerca, Security Hub CSPM popola automaticamente l'`FindingProviderFields`oggetto se è vuoto in base ai campi di primo livello corrispondenti.

Finding provider può eseguire l'aggiornamento `FindingProviderFields` utilizzando il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)funzionamento dell'API CSPM Security Hub. I provider di Finding non possono aggiornare questo oggetto con. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

Per i dettagli su come Security Hub CSPM gestisce gli aggiornamenti da `FindingProviderFields` e `BatchImportFindings` verso gli attributi di primo livello corrispondenti, vedere. [Aggiornamento dei risultati con FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)

I clienti possono aggiornare i campi di primo livello utilizzando l'operazione. `BatchUpdateFindings` I clienti non possono effettuare l'aggiornamento`FindingProviderFields`.

**Esempio**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

Indica quando il potenziale problema o evento di sicurezza rilevato da un risultato è stato osservato per la prima volta.

Questo timestamp specifica quando l'evento o la vulnerabilità sono stati osservati per la prima volta. Di conseguenza, può differire dal `CreatedAt` timestamp, che indica quando è stato creato questo record di risultati.

Per quanto riguarda i risultati di controllo generati e aggiornati da Security Hub CSPM, questo timestamp può anche indicare quando lo stato di conformità di una risorsa è cambiato più di recente. Per altri tipi di risultati, questo timestamp deve essere immutabile tra un aggiornamento e l'altro del record dei risultati, ma può essere aggiornato se viene determinato un timestamp più preciso.

**Esempio**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

Indica quando il potenziale problema o evento di sicurezza rilevato da un risultato è stato osservato più di recente dal prodotto Security Finds.

Questo timestamp specifica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta. Di conseguenza, può differire dal `UpdatedAt` timestamp, che indica quando questo record di risultati è stato aggiornato l'ultima volta o l'ultimo aggiornamento. 

È possibile fornire questo timestamp, ma non è richiesto alla prima osservazione. Se compili questo campo alla prima osservazione, il timestamp dovrebbe essere lo stesso del timestamp. `FirstObservedAt` Aggiornare questo campo per riflettere l'ultimo timestamp o il timestamp osservato più di recente ogni volta che un risultato viene osservato.

**Esempio**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Malware
<a name="asff-malware"></a>

L'oggetto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) fornisce un elenco di malware relativo a una ricerca.

**Esempio**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Rete (ritirata)
<a name="asff-network"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html)oggetto fornisce informazioni relative alla rete su un risultato.

Questo oggetto è stato ritirato. Per fornire questi dati, è possibile mappare i dati a una risorsa in `Resources` o utilizzare l'`Action`oggetto.

**Esempio**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html)oggetto fornisce informazioni su un percorso di rete correlato a un risultato. Ogni voce in `NetworkPath` rappresenta un componente del percorso.

**Esempio**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## Nota
<a name="asff-note"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html)oggetto specifica una nota definita dall'utente che è possibile aggiungere a un risultato.

Un provider di risultati può fornire una nota iniziale per una ricerca, ma non può aggiungere note successivamente. È possibile aggiornare una nota solo utilizzando. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

**Esempio**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html)oggetto fornisce un riepilogo dello stato di conformità della patch per un'istanza rispetto a uno standard di conformità selezionato.

**Esempio**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## Processo
<a name="asff-process"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html)oggetto fornisce dettagli relativi al processo relativi a un risultato.

Esempio:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Indica quando Security Hub CSPM ha ricevuto un risultato e ha iniziato a elaborarlo.

Ciò differisce da `CreatedAt` e`UpdatedAt`, che sono timestamp obbligatori relativi all'interazione del fornitore dei risultati con il problema e la scoperta di sicurezza. Il `ProcessedAt` timestamp indica quando Security Hub CSPM inizia a elaborare un risultato. Una volta completata l'elaborazione, viene visualizzato un risultato nell'account di un utente.

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

Un tipo di dati in cui i prodotti per i risultati della sicurezza possono includere dettagli aggiuntivi specifici della soluzione che non fanno parte del AWS Security Finding Format definito.

Per i risultati generati dai controlli CSPM di Security Hub, `ProductFields` include informazioni sul controllo. Per informazioni, consulta [Generazione e aggiornamento dei risultati di controllo](controls-findings-create-update.md).

Questo campo non deve contenere dati ridondanti e non deve contenere dati in conflitto con i campi del AWS Security Finding Format.

Il prefisso `aws/` "" rappresenta uno spazio dei nomi riservato solo a AWS prodotti e servizi e non deve essere associato ai risultati di integrazioni di terze parti.

Anche se non richiesto, i nomi di campo dei prodotti devono avere il formato `company-id/product-id/field-name`, in cui `company-id` e `product-id` corrispondono a quelli forniti nella `ProductArn` del risultato.

I campi di riferimento `Archival` vengono utilizzati quando Security Hub CSPM archivia un risultato esistente. Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard e quando si attivano o disattivano [i risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings).

Questo campo può includere anche informazioni sullo standard che include il controllo che ha prodotto il risultato.

**Esempio**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

Fornisce il nome del prodotto che ha generato il risultato. Per i risultati basati sul controllo, il nome del prodotto è Security Hub CSPM.

Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) L'eccezione è quando si utilizza un'integrazione personalizzata. Per informazioni, consulta [Integrazione di Security Hub CSPM con prodotti personalizzati](securityhub-custom-providers.md).

Quando si utilizza la console CSPM di Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza questo attributo.

Quando si utilizza l'API CSPM Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza l'`aws/securityhub/ProductName`attributo sotto. `ProductFields`

Security Hub CSPM non sincronizza questi due attributi.

## RecordState
<a name="asff-recordstate"></a>

Fornisce lo stato di registrazione di un risultato. 

Per impostazione predefinita, i risultati inizialmente generati da un servizio sono considerati `ACTIVE`.

Lo stato `ARCHIVED` indica che un risultato deve essere nascosto dalla vista. I risultati archiviati non vengono eliminati immediatamente. Puoi cercarli, esaminarli e riferirli. Security Hub CSPM archivia automaticamente i risultati basati sul controllo se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato.

`RecordState`è destinato alla ricerca di fornitori e può essere aggiornato solo utilizzando l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) Non è possibile aggiornarlo utilizzando l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione.

Per tenere traccia dello stato della tua indagine su un risultato, usa [`Workflow`](#asff-workflow)invece di`RecordState`.

Se lo stato del record cambia da `ARCHIVED` a `ACTIVE` e lo stato del flusso di lavoro del risultato è `NOTIFIED` o`RESOLVED`, Security Hub CSPM modifica automaticamente lo stato del flusso di lavoro in. `NEW`

**Esempio**

```
"RecordState": "ACTIVE"
```

## Region
<a name="asff-region"></a>

Speciifica il risultato Regione AWS da cui è stato generato il risultato.

Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)

**Esempio**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

Fornisce un elenco di risultati correlati al risultato corrente.

`RelatedFindings`deve essere aggiornato solo con l'operazione dell'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Non dovresti aggiornare questo oggetto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Per [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)le richieste, i provider di ricerca devono utilizzare l'`RelatedFindings`oggetto sotto [`FindingProviderFields`](#asff-findingproviderfields).

Per visualizzare le descrizioni degli `RelatedFindings` attributi, [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)consulta l'*AWS Security Hub API Reference*.

**Esempio**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**Esempio**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## Correzione
<a name="asff-remediation"></a>

L'oggetto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) fornisce informazioni sulle procedure di correzione consigliate per risolvere la ricerca.

**Esempio**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## Project N.E.M.O.
<a name="asff-sample"></a>

Speciifica se il risultato è un risultato di esempio.

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

L'`SourceUrl`oggetto fornisce un URL che rimanda a una pagina relativa alla scoperta corrente del prodotto oggetto della ricerca.

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html)oggetto fornisce dettagli di intelligence sulle minacce correlati a una scoperta.

**Esempio**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## Minacce
<a name="asff-threats"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html)oggetto fornisce dettagli sulla minaccia rilevata da un risultato.

**Esempio**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

Fornisce un elenco di coppie di stringhe nome-valore associate al risultato. Si tratta di campi personalizzati, definiti dall'utente che vengono aggiunti a un risultato. Questi campi possono essere generati automaticamente tramite una configurazione specifica.

I fornitori di servizi di ricerca non devono utilizzare questo campo per i dati generati dal prodotto. Invece, i provider di ricerca possono utilizzare il `ProductFields` campo per i dati che non sono mappati a nessun campo standard del AWS Security Finding Format.

Questi campi possono essere aggiornati solo utilizzando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Esempio**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

Fornisce la veridicità di un risultato. I prodotti Findings possono fornire un valore di `UNKNOWN` per questo campo. Un prodotto dei risultati dovrebbe fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati. Questo campo viene in genere compilato in base alla determinazione o all'azione dell'utente dopo l'analisi di un risultato.

Un provider di risultati può fornire un valore iniziale per questo attributo, ma non può aggiornarlo successivamente. È possibile aggiornare questo attributo solo utilizzando. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

```
"VerificationState": "Confirmed"
```

## Vulnerabilità
<a name="asff-vulnerabilities"></a>

L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)oggetto fornisce un elenco di vulnerabilità associate a un risultato.

**Esempio**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## Flusso di lavoro
<a name="asff-workflow"></a>

L' oggetto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) fornisce informazioni sullo stato dell'indagine su un risultato.

Questo campo è destinato ai clienti da utilizzare con strumenti di correzione, orchestrazione e ticketing. Non è destinato per provider di risultati.

Puoi aggiornare il campo solo con. `Workflow` [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) I clienti possono anche aggiornarlo dalla console. Per informazioni, consulta [Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM](findings-workflow-status.md).

**Esempio**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (Ritirato)
<a name="asff-workflowstate"></a>

Questo oggetto è stato ritirato ed è stato sostituito dal `Status` campo dell'`Workflow`oggetto.

Questo campo fornisce lo stato del flusso di lavoro di un risultato. I prodotti dei risultati sono in grado di fornire il valore di `NEW` per questo campo. Un prodotto dei risultati è in grado di fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati.

**Esempio**

```
"WorkflowState": "NEW"
```

# ResourcesOggetto ASFF
<a name="asff-resources"></a>

Nel AWS Security Finding Format (ASFF), l'`Resources`oggetto fornisce informazioni sulle risorse coinvolte in una ricerca. Contiene una matrice di un massimo di 32 oggetti risorsa. Per determinare come vengono formattati i nomi delle risorse, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md). Per esempi di ogni oggetto risorsa, selezionate una risorsa dall'elenco seguente.

**Topics**
+ [

# Attributi delle risorse nell'ASFF
](asff-resources-attributes.md)
+ [

# AwsAmazonMQrisorse in ASFF
](asff-resourcedetails-awsamazonmq.md)
+ [

# AwsApiGatewayrisorse in ASFF
](asff-resourcedetails-awsapigateway.md)
+ [

# AwsAppSyncrisorse in ASFF
](asff-resourcedetails-awsappsync.md)
+ [

# AwsAthenarisorse in ASFF
](asff-resourcedetails-awsathena.md)
+ [

# AwsAutoScalingrisorse in ASFF
](asff-resourcedetails-awsautoscaling.md)
+ [

# AwsBackuprisorse in ASFF
](asff-resourcedetails-awsbackup.md)
+ [

# AwsCertificateManagerrisorse in ASFF
](asff-resourcedetails-awscertificatemanager.md)
+ [

# AwsCloudFormationrisorse in ASFF
](asff-resourcedetails-awscloudformation.md)
+ [

# AwsCloudFrontrisorse in ASFF
](asff-resourcedetails-awscloudfront.md)
+ [

# AwsCloudTrailrisorse in ASFF
](asff-resourcedetails-awscloudtrail.md)
+ [

# AwsCloudWatchrisorse in ASFF
](asff-resourcedetails-awscloudwatch.md)
+ [

# AwsCodeBuildrisorse in ASFF
](asff-resourcedetails-awscodebuild.md)
+ [

# AwsDmsrisorse in ASFF
](asff-resourcedetails-awsdms.md)
+ [

# AwsDynamoDBrisorse in ASFF
](asff-resourcedetails-awsdynamodb.md)
+ [

# AwsEc2risorse in ASFF
](asff-resourcedetails-awsec2.md)
+ [

# AwsEcrrisorse in ASFF
](asff-resourcedetails-awsecr.md)
+ [

# AwsEcsrisorse in ASFF
](asff-resourcedetails-awsecs.md)
+ [

# AwsEfsrisorse in ASFF
](asff-resourcedetails-awsefs.md)
+ [

# AwsEksrisorse in ASFF
](asff-resourcedetails-awseks.md)
+ [

# AwsElasticBeanstalkrisorse in ASFF
](asff-resourcedetails-awselasticbeanstalk.md)
+ [

# AwsElasticSearchrisorse in ASFF
](asff-resourcedetails-awselasticsearch.md)
+ [

# AwsElbrisorse in ASFF
](asff-resourcedetails-awselb.md)
+ [

# AwsEventBridgerisorse in ASFF
](asff-resourcedetails-awsevent.md)
+ [

# AwsGuardDutyrisorse in ASFF
](asff-resourcedetails-awsguardduty.md)
+ [

# AwsIamrisorse in ASFF
](asff-resourcedetails-awsiam.md)
+ [

# AwsKinesisrisorse in ASFF
](asff-resourcedetails-awskinesis.md)
+ [

# AwsKmsrisorse in ASFF
](asff-resourcedetails-awskms.md)
+ [

# AwsLambda
](asff-resourcedetails-awslambda.md)
+ [

# AwsMskrisorse in ASFF
](asff-resourcedetails-awsmsk.md)
+ [

# AwsNetworkFirewallrisorse in ASFF
](asff-resourcedetails-awsnetworkfirewall.md)
+ [

# AwsOpenSearchServicerisorse in ASFF
](asff-resourcedetails-awsopensearchservice.md)
+ [

# AwsRdsrisorse in ASFF
](asff-resourcedetails-awsrds.md)
+ [

# AwsRedshiftrisorse in ASFF
](asff-resourcedetails-awsredshift.md)
+ [

# AwsRoute53risorse in ASFF
](asff-resourcedetails-awsroute53.md)
+ [

# AwsS3risorse in ASFF
](asff-resourcedetails-awss3.md)
+ [

# AwsSageMakerrisorse in ASFF
](asff-resourcedetails-awssagemaker.md)
+ [

# AwsSecretsManagerrisorse in ASFF
](asff-resourcedetails-awssecretsmanager.md)
+ [

# AwsSnsrisorse in ASFF
](asff-resourcedetails-awssns.md)
+ [

# AwsSqsrisorse in ASFF
](asff-resourcedetails-awssqs.md)
+ [

# AwsSsmrisorse in ASFF
](asff-resourcedetails-awsssm.md)
+ [

# AwsStepFunctionsrisorse in ASFF
](asff-resourcedetails-awsstepfunctions.md)
+ [

# AwsWafrisorse in ASFF
](asff-resourcedetails-awswaf.md)
+ [

# AwsXrayrisorse in ASFF
](asff-resourcedetails-awsxray.md)
+ [

# CodeRepositoryoggetto in ASFF
](asff-resourcedetails-coderepository.md)
+ [

# Containeroggetto in ASFF
](asff-resourcedetails-container.md)
+ [

# Otheroggetto in ASFF
](asff-resourcedetails-other.md)

# Attributi delle risorse nell'ASFF
<a name="asff-resources-attributes"></a>

Di seguito sono riportate le descrizioni e gli esempi dell'`Resources`oggetto nel AWS Security Finding Format (ASFF). Per ulteriori informazioni sui campi, consulta [Resources](asff-required-attributes.md#Resources).

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

Identifica l'Amazon Resource Name (ARN) dell'applicazione coinvolta nella scoperta.

**Esempio**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

Identifica il nome dell'applicazione coinvolta nella scoperta.

**Esempio**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

Il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html)campo fornisce informazioni sui dati sensibili rilevati sulla risorsa.

**Esempio**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## Informazioni
<a name="asff-resources-details"></a>

Il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)campo fornisce informazioni aggiuntive su una singola risorsa utilizzando gli oggetti appropriati. Ogni risorsa deve essere fornita in un oggetto risorsa separato nell'`Resources`oggetto.

Si noti che se la dimensione del risultato supera il massimo di 240 KB, l'`Details`oggetto viene rimosso dal risultato. Per i risultati del controllo che utilizzano AWS Config regole, è possibile visualizzare i dettagli delle risorse sulla AWS Config console.

Security Hub CSPM fornisce una serie di dettagli sulle risorse disponibili per i tipi di risorse supportati. Questi dettagli corrispondono ai valori dell'`Type`oggetto. Usa i tipi forniti quando possibile.

Ad esempio, se la risorsa è un bucket S3, imposta la risorsa `Type` su `AwsS3Bucket` e fornisci i dettagli della risorsa nell'[`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket)oggetto.

L'[`Other`](asff-resourcedetails-other.md)oggetto consente di fornire campi e valori personalizzati. L'`Other`oggetto viene utilizzato nei seguenti casi:
+ Il tipo di risorsa (il valore della risorsa`Type`) non ha un oggetto di dettaglio corrispondente. Per fornire dettagli sulla risorsa, si utilizza l'[`Other`](asff-resourcedetails-other.md)oggetto.
+ L'oggetto per il tipo di risorsa non include tutti i campi che si desidera compilare. In questo caso, utilizzate l'oggetto di dettaglio relativo al tipo di risorsa per compilare i campi disponibili. Utilizzate l'`Other`oggetto per compilare i campi che non si trovano nell'oggetto specifico del tipo.
+ Il tipo di risorsa non è uno dei tipi forniti. In questo caso, `Resource.Type` impostate `Other` e utilizzate l'`Other`oggetto per compilare i dettagli.

**Esempio**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## Id
<a name="asff-resources-id"></a>

L'identificatore per il tipo di risorsa specificato.

Per AWS le risorse identificate da Amazon Resource Names (ARNs), questo è l'ARN.

Per AWS le risorse che mancano ARNs, questo è l'identificatore definito dal AWS servizio che ha creato la risorsa.

Per le AWS risorse diverse da quelle utilizzate, si tratta di un identificatore univoco associato alla risorsa.

**Esempio**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## Partizione
<a name="asff-resources-partition"></a>

La partizione in cui si trova la risorsa. Una partizione è un gruppo di. Regioni AWS Ciascuno Account AWS è limitato a una partizione.

Sono supportate le seguenti partizioni:
+ `aws` – Regioni AWS
+ `aws-cn` - Regioni Cina
+ `aws-us-gov` – AWS GovCloud (US) Region

**Esempio**

```
"Partition": "aws"
```

## Region
<a name="asff-resources-region"></a>

Il codice del Regione AWS luogo in cui si trova questa risorsa. Per un elenco dei codici regionali, consulta [Endpoint regionali](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).

**Esempio**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

Identifica il ruolo della risorsa nella scoperta. Una risorsa è l'obiettivo dell'attività di ricerca o l'attore che ha eseguito l'attività.

**Esempio**

```
"ResourceRole": "target"
```

## Tag
<a name="asff-resources-tags"></a>

Questo campo fornisce informazioni sulla chiave e sul valore dei tag per la risorsa coinvolta in una ricerca. È possibile etichettare [le risorse supportate](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) dal `GetResources` funzionamento dell'API AWS Resource Groups Tagging. Security Hub CSPM richiama questa operazione tramite il [ruolo collegato al servizio e recupera i tag delle risorse se il `Resource.Id` campo AWS Security Finding Format (ASFF) è popolato con l'ARN](using-service-linked-roles.md) della risorsa. AWS Le risorse non valide vengono ignorate. IDs 

Puoi aggiungere tag di risorse ai risultati che Security Hub CSPM acquisisce, inclusi i risultati di prodotti integrati Servizi AWS e di terze parti.

L'aggiunta di tag consente di visualizzare i tag associati a una risorsa al momento dell'elaborazione del risultato. È possibile includere l'`Tags`attributo solo per le risorse a cui è associato un tag. Se a una risorsa non è associato un tag, non includere un attributo `Tags` nel risultato.

L'inclusione dei tag delle risorse nei risultati elimina la necessità di creare pipeline di arricchimento dei dati o di arricchire manualmente i metadati dei risultati di sicurezza. [Puoi anche utilizzare i tag per cercare o filtrare risultati e approfondimenti e creare regole di automazione.](automation-rules.md)

Per informazioni sulle restrizioni che si applicano ai tag, consulta [Limiti e requisiti di denominazione dei tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).

In questo campo puoi fornire solo i tag che esistono su una AWS risorsa. Per fornire dati che non sono definiti nel AWS Security Finding Format, utilizza il sottocampo dei `Other` dettagli.

**Esempio**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## Tipo
<a name="asff-resources-type"></a>

Il tipo di risorsa per cui stai fornendo i dettagli.

Quando possibile, utilizza uno dei tipi di risorse forniti, ad esempio `AwsEc2Instance` o `AwsS3Bucket`.

Se il tipo di risorsa non corrisponde a nessuno dei tipi di risorsa forniti, imposta la risorsa `Type` su e utilizza il sottocampo dei `Other` dettagli per compilare i dettagli. `Other`

[I valori supportati sono elencati in Risorse.](asff-resources.md)

**Esempio**

```
"Type": "AwsS3Bucket"
```

# AwsAmazonMQrisorse in ASFF
<a name="asff-resourcedetails-awsamazonmq"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le `AwsAmazonMQ` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

`AwsAmazonMQBroker`fornisce informazioni su un broker Amazon MQ, che è un ambiente di broker di messaggi in esecuzione su Amazon MQ.

L'esempio seguente mostra l'ASFF per l'`AwsAmazonMQBroker`oggetto. Per visualizzare le descrizioni degli `AwsAmazonMQBroker` attributi, consulta [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# AwsApiGatewayrisorse in ASFF
<a name="asff-resourcedetails-awsapigateway"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsApiGateway` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

L'`AwsApiGatewayRestApi`oggetto contiene informazioni su un'API REST nella versione 1 di Amazon API Gateway.

Di seguito è riportato un esempio di `AwsApiGatewayRestApi` ricerca nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayRestApi` attributi, consulta [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

L'`AwsApiGatewayStage`oggetto fornisce informazioni su una fase di Amazon API Gateway versione 1.

Di seguito è riportato un esempio di `AwsApiGatewayStage` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayStage` attributi, consulta [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayV2Api
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

L'`AwsApiGatewayV2Api`oggetto contiene informazioni su un'API versione 2 in Amazon API Gateway.

Di seguito è riportato un esempio di `AwsApiGatewayV2Api` ricerca nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayV2Api` attributi, vedere [AwsApiGatewayV2 ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) nell'*AWS Security Hub API* Reference.

**Esempio**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayV2 Stage
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage`contiene informazioni sulla versione 2 (fase) per Amazon API Gateway.

Di seguito è riportato un esempio di `AwsApiGatewayV2Stage` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayV2Stage` attributi, vedere [AwsApiGatewayV2 StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) nell'*AWS Security Hub API* Reference.

**Esempio**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# AwsAppSyncrisorse in ASFF
<a name="asff-resourcedetails-awsappsync"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsAppSync` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi`fornisce informazioni su un'API AWS AppSync GraphQL, che è un costrutto di primo livello per l'applicazione.

L'esempio seguente mostra l'ASFF per l'oggetto. `AwsAppSyncGraphQLApi` Per visualizzare le descrizioni degli `AwsAppSyncGraphQLApi` attributi, consulta [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# AwsAthenarisorse in ASFF
<a name="asff-resourcedetails-awsathena"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsAthena`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup`fornisce informazioni su un gruppo di lavoro Amazon Athena. Un gruppo di lavoro ti aiuta a separare utenti, team, applicazioni o carichi di lavoro. Inoltre, consente di impostare limiti all'elaborazione dei dati e tenere traccia dei costi.

L'esempio seguente mostra l'ASFF per l'`AwsAthenaWorkGroup`oggetto. Per visualizzare le descrizioni degli `AwsAthenaWorkGroup` attributi, consulta [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# AwsAutoScalingrisorse in ASFF
<a name="asff-resourcedetails-awsautoscaling"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsAutoScaling`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

L'`AwsAutoScalingAutoScalingGroup`oggetto fornisce dettagli su un gruppo di ridimensionamento automatico.

Di seguito è riportato un esempio di `AwsAutoScalingAutoScalingGroup` ricerca nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsAutoScalingAutoScalingGroup` attributi, consulta [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

L'`AwsAutoScalingLaunchConfiguration`oggetto fornisce dettagli sulla configurazione di avvio.

Di seguito è riportato un esempio di `AwsAutoScalingLaunchConfiguration` ricerca nel AWS Security Finding Format (ASFF).

Per visualizzare le descrizioni degli `AwsAutoScalingLaunchConfiguration` attributi, consulta [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# AwsBackuprisorse in ASFF
<a name="asff-resourcedetails-awsbackup"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsBackup` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

L'`AwsBackupBackupPlan`oggetto fornisce informazioni su un piano AWS Backup di backup. Un piano di AWS Backup backup è un'espressione politica che definisce quando e come si desidera eseguire il backup AWS delle risorse.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsBackupBackupPlan`oggetto. Per visualizzare le descrizioni degli `AwsBackupBackupPlan` attributi, consulta [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

L'`AwsBackupBackupVault`oggetto fornisce informazioni su un archivio AWS Backup di backup. Un archivio AWS Backup di backup è un contenitore che archivia e organizza i backup.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsBackupBackupVault` Per visualizzare le descrizioni degli `AwsBackupBackupVault` attributi, consulta [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

L'`AwsBackupRecoveryPoint`oggetto fornisce informazioni su un AWS Backup backup, noto anche come punto di ripristino. Un punto di AWS Backup ripristino rappresenta il contenuto di una risorsa in un momento specifico.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsBackupRecoveryPoint`oggetto. Per visualizzare le descrizioni degli `AwsBackupBackupVault` attributi, consulta [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# AwsCertificateManagerrisorse in ASFF
<a name="asff-resourcedetails-awscertificatemanager"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsCertificateManager`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

L'`AwsCertificateManagerCertificate`oggetto fornisce dettagli su un certificato AWS Certificate Manager (ACM).

Di seguito è riportato un esempio di `AwsCertificateManagerCertificate` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsCertificateManagerCertificate` attributi, consulta [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# AwsCloudFormationrisorse in ASFF
<a name="asff-resourcedetails-awscloudformation"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsCloudFormation` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

L'`AwsCloudFormationStack`oggetto fornisce dettagli su uno AWS CloudFormation stack annidato come risorsa in un modello di primo livello.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsCloudFormationStack` Per visualizzare le descrizioni degli `AwsCloudFormationStack` attributi, consulta [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# AwsCloudFrontrisorse in ASFF
<a name="asff-resourcedetails-awscloudfront"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsCloudFront` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

L'`AwsCloudFrontDistribution`oggetto fornisce dettagli su una configurazione di CloudFront distribuzione Amazon.

Di seguito è riportato un esempio di `AwsCloudFrontDistribution` ricerca nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsCloudFrontDistribution` attributi, consulta [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# AwsCloudTrailrisorse in ASFF
<a name="asff-resourcedetails-awscloudtrail"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsCloudTrail` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

L'`AwsCloudTrailTrail`oggetto fornisce dettagli su un AWS CloudTrail percorso.

Di seguito è riportato un esempio di `AwsCloudTrailTrail` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsCloudTrailTrail` attributi, consulta [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# AwsCloudWatchrisorse in ASFF
<a name="asff-resourcedetails-awscloudwatch"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsCloudWatch` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

L'`AwsCloudWatchAlarm`oggetto fornisce dettagli sugli CloudWatch allarmi Amazon che controllano una metrica o eseguono un'azione quando un allarme cambia stato.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsCloudWatchAlarm` Per visualizzare le descrizioni degli `AwsCloudWatchAlarm` attributi, consulta [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# AwsCodeBuildrisorse in ASFF
<a name="asff-resourcedetails-awscodebuild"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsCodeBuild` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

L'oggetto `AwsCodeBuildProject` fornisce informazioni su un progetto AWS CodeBuild .

Di seguito è riportato un esempio di `AwsCodeBuildProject` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsCodeBuildProject` attributi, consulta [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# AwsDmsrisorse in ASFF
<a name="asff-resourcedetails-awsdms"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsDms` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

L'`AwsDmsEndpoint`oggetto fornisce informazioni su un endpoint AWS Database Migration Service (AWS DMS). Un endpoint fornisce informazioni sulla connessione, sul tipo di data store e sulla posizione del data store.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsDmsEndpoint`oggetto. Per visualizzare le descrizioni degli `AwsDmsEndpoint` attributi, consulta [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

L'`AwsDmsReplicationInstance`oggetto fornisce informazioni su un'istanza di replica AWS Database Migration Service (AWS DMS). DMS utilizza un'istanza di replica per connettersi al data store di origine, leggere i dati di origine e formattare i dati per l'utilizzo da parte del data store di destinazione.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsDmsReplicationInstance` Per visualizzare le descrizioni degli `AwsDmsReplicationInstance` attributi, consulta [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

L'`AwsDmsReplicationTask`oggetto fornisce informazioni su un'attività di replica AWS Database Migration Service (AWS DMS). Un'attività di replica sposta un set di dati dall'endpoint di origine all'endpoint di destinazione.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsDmsReplicationInstance` Per visualizzare le descrizioni degli `AwsDmsReplicationInstance` attributi, consulta [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# AwsDynamoDBrisorse in ASFF
<a name="asff-resourcedetails-awsdynamodb"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsDynamoDB`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

L'`AwsDynamoDbTable`oggetto fornisce dettagli su una tabella Amazon DynamoDB.

Di seguito è riportato un esempio di `AwsDynamoDbTable` ricerca nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsDynamoDbTable` attributi, consulta [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# AwsEc2risorse in ASFF
<a name="asff-resourcedetails-awsec2"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsEc2`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

L'`AwsEc2ClientVpnEndpoint`oggetto fornisce informazioni su un AWS Client VPN endpoint. Un endpoint Client VPN è la risorsa che crei e configuri per abilitare e gestire le sessioni VPN client. È il punto di chiusura per tutte le sessioni VPN client.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2ClientVpnEndpoint`oggetto. Per visualizzare le descrizioni degli `AwsEc2ClientVpnEndpoint` attributi, vedere [AwsEc2 ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

L'`AwsEc2Eip`oggetto fornisce informazioni su un indirizzo IP elastico.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2Eip`oggetto. Per visualizzare le descrizioni degli `AwsEc2Eip` attributi, vedere [AwsEc2 EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

L'`AwsEc2Instance`oggetto fornisce dettagli su un'istanza Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2Instance`oggetto. Per visualizzare le descrizioni degli `AwsEc2Instance` attributi, vedere [AwsEc2 InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

L'`AwsEc2LaunchTemplate`oggetto contiene dettagli su un modello di lancio di Amazon Elastic Compute Cloud che specifica le informazioni di configurazione dell'istanza.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEc2LaunchTemplate` Per visualizzare le descrizioni degli `AwsEc2LaunchTemplate` attributi, vedere [AwsEc2 LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

L'`AwsEc2NetworkAcl`oggetto contiene dettagli su una lista di controllo degli accessi alla rete (ACL) di Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEc2NetworkAcl` Per visualizzare le descrizioni degli `AwsEc2NetworkAcl` attributi, vedere [AwsEc2 NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

L'`AwsEc2NetworkInterface`oggetto fornisce informazioni su un'interfaccia di rete Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2NetworkInterface`oggetto. Per visualizzare le descrizioni degli `AwsEc2NetworkInterface` attributi, vedere [AwsEc2 NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

L'`AwsEc2RouteTable`oggetto fornisce informazioni su una tabella di routing di Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2RouteTable`oggetto. Per visualizzare le descrizioni degli `AwsEc2RouteTable` attributi, vedere [AwsEc2 RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

L'`AwsEc2SecurityGroup`oggetto descrive un gruppo di sicurezza Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2SecurityGroup`oggetto. Per visualizzare le descrizioni degli `AwsEc2SecurityGroup` attributi, vedere [AwsEc2 SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

L'`AwsEc2Subnet`oggetto fornisce informazioni su una sottorete in Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEc2Subnet` Per visualizzare le descrizioni degli `AwsEc2Subnet` attributi, vedere [AwsEc2 SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

L'`AwsEc2TransitGateway`oggetto fornisce dettagli su un gateway di transito Amazon EC2 che interconnette i tuoi cloud privati virtuali (VPCs) e le reti locali.

Di seguito è riportato un esempio di `AwsEc2TransitGateway` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsEc2TransitGateway` attributi, vedere [AwsEc2 TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) nel *riferimento AWS Security Hub API.*

**Esempio**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

L'`AwsEc2Volume`oggetto fornisce dettagli su un volume Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2Volume`oggetto. Per visualizzare le descrizioni degli `AwsEc2Volume` attributi, vedere [AwsEc2 VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

L'`AwsEc2Vpc`oggetto fornisce dettagli su un VPC Amazon EC2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEc2Vpc` Per visualizzare le descrizioni degli `AwsEc2Vpc` attributi, vedere [AwsEc2 VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

L'`AwsEc2VpcEndpointService`oggetto contiene dettagli sulla configurazione del servizio per un servizio endpoint VPC.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEc2VpcEndpointService` Per visualizzare le descrizioni degli `AwsEc2VpcEndpointService` attributi, vedere [AwsEc2 VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

L'`AwsEc2VpcPeeringConnection`oggetto fornisce dettagli sulla connessione di rete tra due VPCs.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEc2VpcPeeringConnection`oggetto. Per visualizzare le descrizioni degli `AwsEc2VpcPeeringConnection` attributi, vedere [AwsEc2 VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# AwsEcrrisorse in ASFF
<a name="asff-resourcedetails-awsecr"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsEcr`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

L'`AwsEcrContainerImage`oggetto fornisce informazioni su un'immagine Amazon ECR.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcrContainerImage`oggetto. Per visualizzare le descrizioni degli `AwsEcrContainerImage` attributi, consulta [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

L'`AwsEcrRepository`oggetto fornisce informazioni su un repository Amazon Elastic Container Registry.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcrRepository`oggetto. Per visualizzare le descrizioni degli `AwsEcrRepository` attributi, consulta [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# AwsEcsrisorse in ASFF
<a name="asff-resourcedetails-awsecs"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsEcs`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

L'`AwsEcsCluster`oggetto fornisce dettagli su un cluster Amazon Elastic Container Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcsCluster`oggetto. Per visualizzare le descrizioni degli `AwsEcsCluster` attributi, consulta [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

L'`AwsEcsContainer`oggetto contiene dettagli su un contenitore Amazon ECS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcsContainer`oggetto. Per visualizzare le descrizioni degli `AwsEcsContainer` attributi, consulta [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

L'`AwsEcsService`oggetto fornisce dettagli su un servizio all'interno di un cluster Amazon ECS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcsService`oggetto. Per visualizzare le descrizioni degli `AwsEcsService` attributi, consulta [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

L'`AwsEcsTask`oggetto fornisce dettagli su un'attività di Amazon ECS. 

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcsTask`oggetto. Per visualizzare le descrizioni degli `AwsEcsTask` attributi, consulta [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

L'`AwsEcsTaskDefinition`oggetto contiene dettagli sulla definizione di un'attività. Una definizione di attività descrive le definizioni di contenitore e volume di un'attività di Amazon Elastic Container Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEcsTaskDefinition`oggetto. Per visualizzare le descrizioni degli `AwsEcsTaskDefinition` attributi, consulta [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# AwsEfsrisorse in ASFF
<a name="asff-resourcedetails-awsefs"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le `AwsEfs` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

L'`AwsEfsAccessPoint`oggetto fornisce dettagli sui file archiviati in Amazon Elastic File System.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEfsAccessPoint`oggetto. Per visualizzare le descrizioni degli `AwsEfsAccessPoint` attributi, consulta [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# AwsEksrisorse in ASFF
<a name="asff-resourcedetails-awseks"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le `AwsEks` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

L'`AwsEksCluster`oggetto fornisce dettagli su un cluster Amazon EKS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsEksCluster`oggetto. Per visualizzare le descrizioni degli `AwsEksCluster` attributi, consulta [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# AwsElasticBeanstalkrisorse in ASFF
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsElasticBeanstalk`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

L'`AwsElasticBeanstalkEnvironment`oggetto contiene dettagli su un AWS Elastic Beanstalk ambiente.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsElasticBeanstalkEnvironment`oggetto. Per visualizzare le descrizioni degli `AwsElasticBeanstalkEnvironment` attributi, consulta [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# AwsElasticSearchrisorse in ASFF
<a name="asff-resourcedetails-awselasticsearch"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsElasticSearch` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

L'`AwsElasticSearchDomain`oggetto fornisce dettagli su un dominio Amazon OpenSearch Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsElasticSearchDomain`oggetto. Per visualizzare le descrizioni degli `AwsElasticSearchDomain` attributi, consulta [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# AwsElbrisorse in ASFF
<a name="asff-resourcedetails-awselb"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsElb`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

L'`AwsElbLoadBalancer`oggetto contiene dettagli su un Classic Load Balancer.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsElbLoadBalancer`oggetto. Per visualizzare le descrizioni degli `AwsElbLoadBalancer` attributi, consulta [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

L'oggetto `AwsElbv2LoadBalancer` fornisce informazioni su un bilanciamento del carico.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsElbv2LoadBalancer`oggetto. Per visualizzare le descrizioni degli `AwsElbv2LoadBalancer` attributi, vedere [AwsElbv2 LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# AwsEventBridgerisorse in ASFF
<a name="asff-resourcedetails-awsevent"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsEventBridge` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

L'`AwsEventSchemasRegistry`oggetto fornisce informazioni su un registro di EventBridge schemi Amazon. Uno schema definisce la struttura degli eventi a cui vengono inviati EventBridge. I registri degli schemi sono contenitori che raccolgono e raggruppano logicamente gli schemi.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEventSchemasRegistry` Per visualizzare le descrizioni degli `AwsEventSchemasRegistry` attributi, consulta [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

L'`AwsEventsEndpoint`oggetto fornisce informazioni su un endpoint EventBridge globale Amazon. L'endpoint può migliorare la disponibilità dell'applicazione rendendola tollerante ai guasti regionali.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEventsEndpoint` Per visualizzare le descrizioni degli `AwsEventsEndpoint` attributi, consulta [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

L'`AwsEventsEventbus`oggetto fornisce informazioni su un endpoint EventBridge globale Amazon. L'endpoint può migliorare la disponibilità dell'applicazione rendendola tollerante ai guasti regionali.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsEventsEventbus` Per visualizzare le descrizioni degli `AwsEventsEventbus` attributi, consulta [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# AwsGuardDutyrisorse in ASFF
<a name="asff-resourcedetails-awsguardduty"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsGuardDuty` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

L'`AwsGuardDutyDetector`oggetto fornisce informazioni su un GuardDuty rilevatore Amazon. Un rilevatore è un oggetto che rappresenta il GuardDuty servizio. È necessario un rilevatore per GuardDuty diventare operativo.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsGuardDutyDetector`oggetto. Per visualizzare le descrizioni degli `AwsGuardDutyDetector` attributi, consulta [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# AwsIamrisorse in ASFF
<a name="asff-resourcedetails-awsiam"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsIam` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

L'`AwsIamAccessKey`oggetto contiene dettagli su una chiave di accesso IAM correlata a un risultato.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsIamAccessKey`oggetto. Per visualizzare le descrizioni degli `AwsIamAccessKey` attributi, consulta [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

L'`AwsIamGroup`oggetto contiene dettagli su un gruppo IAM.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsIamGroup`oggetto. Per visualizzare le descrizioni degli `AwsIamGroup` attributi, consulta [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

L'`AwsIamPolicy`oggetto rappresenta una politica di autorizzazioni IAM.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsIamPolicy`oggetto. Per visualizzare le descrizioni degli `AwsIamPolicy` attributi, consulta [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

L'`AwsIamRole`oggetto contiene informazioni su un ruolo IAM, incluse tutte le politiche del ruolo.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsIamRole`oggetto. Per visualizzare le descrizioni degli `AwsIamRole` attributi, consulta [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

L'`AwsIamUser`oggetto fornisce informazioni su un utente.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsIamUser`oggetto. Per visualizzare le descrizioni degli `AwsIamUser` attributi, consulta [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# AwsKinesisrisorse in ASFF
<a name="asff-resourcedetails-awskinesis"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsKinesis`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

L'`AwsKinesisStream`oggetto fornisce dettagli su Amazon Kinesis Data Streams.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsKinesisStream` Per visualizzare le descrizioni degli `AwsKinesisStream` attributi, consulta [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# AwsKmsrisorse in ASFF
<a name="asff-resourcedetails-awskms"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsKms` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

L'`AwsKmsKey`oggetto fornisce dettagli su un AWS KMS key.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsKmsKey`oggetto. Per visualizzare le descrizioni degli `AwsKmsKey` attributi, consulta [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsLambda`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

L'`AwsLambdaFunction`oggetto fornisce dettagli sulla configurazione di una funzione Lambda.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsLambdaFunction`oggetto. Per visualizzare le descrizioni degli `AwsLambdaFunction` attributi, consulta [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

L'`AwsLambdaLayerVersion`oggetto fornisce dettagli su una versione del layer Lambda.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsLambdaLayerVersion`oggetto. Per visualizzare le descrizioni degli `AwsLambdaLayerVersion` attributi, consulta [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# AwsMskrisorse in ASFF
<a name="asff-resourcedetails-awsmsk"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsMsk`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

L'`AwsMskCluster`oggetto fornisce informazioni su un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK).

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsMskCluster` Per visualizzare le descrizioni degli `AwsMskCluster` attributi, consulta [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# AwsNetworkFirewallrisorse in ASFF
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsNetworkFirewall` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

L'`AwsNetworkFirewallFirewall`oggetto contiene dettagli su un AWS Network Firewall firewall.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsNetworkFirewallFirewall`oggetto. Per visualizzare le descrizioni degli `AwsNetworkFirewallFirewall` attributi, consulta [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

L'`AwsNetworkFirewallFirewallPolicy`oggetto fornisce dettagli su una politica del firewall. Una politica firewall definisce il comportamento di un firewall di rete.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsNetworkFirewallFirewallPolicy`oggetto. Per visualizzare le descrizioni degli `AwsNetworkFirewallFirewallPolicy` attributi, consulta [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

L'`AwsNetworkFirewallRuleGroup`oggetto fornisce dettagli su un gruppo di AWS Network Firewall regole. I gruppi di regole vengono utilizzati per ispezionare e controllare il traffico di rete. I gruppi di regole stateless si applicano ai singoli pacchetti. I gruppi di regole con stato si applicano ai pacchetti nel contesto del relativo flusso di traffico.

I gruppi di regole sono indicati nelle politiche del firewall.

Gli esempi seguenti mostrano il AWS Security Finding Format (ASFF) per l'`AwsNetworkFirewallRuleGroup`oggetto. Per visualizzare le descrizioni degli `AwsNetworkFirewallRuleGroup` attributi, consulta [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio: gruppo di regole stateless**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Esempio: gruppo di regole stateful**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

Di seguito è riportato un elenco di esempi di valori validi per `AwsNetworkFirewallRuleGroup` gli attributi:
+ `Action`

  Valori validi: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  Valori validi: `IP` `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  Valori validi: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  Valori validi: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# AwsOpenSearchServicerisorse in ASFF
<a name="asff-resourcedetails-awsopensearchservice"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsOpenSearchService` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

L'`AwsOpenSearchServiceDomain`oggetto contiene informazioni su un dominio Amazon OpenSearch Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsOpenSearchServiceDomain`oggetto. Per visualizzare le descrizioni degli `AwsOpenSearchServiceDomain` attributi, consulta [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# AwsRdsrisorse in ASFF
<a name="asff-resourcedetails-awsrds"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsRds`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

L'`AwsRdsDbCluster`oggetto fornisce dettagli su un cluster di database Amazon RDS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsRdsDbCluster`oggetto. Per visualizzare le descrizioni degli `AwsRdsDbCluster` attributi, consulta [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

L'`AwsRdsDbClusterSnapshot`oggetto contiene informazioni su uno snapshot del cluster Amazon RDS DB.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsRdsDbClusterSnapshot` Per visualizzare le descrizioni degli `AwsRdsDbClusterSnapshot` attributi, consulta [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

L'`AwsRdsDbInstance`oggetto fornisce dettagli su un'istanza database Amazon RDS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsRdsDbInstance`oggetto. Per visualizzare le descrizioni degli `AwsRdsDbInstance` attributi, consulta [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

L'`AwsRdsDbSecurityGroup`oggetto contiene informazioni su un Amazon Relational Database Service

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsRdsDbSecurityGroup`oggetto. Per visualizzare le descrizioni degli `AwsRdsDbSecurityGroup` attributi, consulta [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

L'`AwsRdsDbSnapshot`oggetto contiene dettagli su uno snapshot del cluster Amazon RDS DB.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsRdsDbSnapshot` Per visualizzare le descrizioni degli `AwsRdsDbSnapshot` attributi, consulta [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

`AwsRdsEventSubscription`Contiene dettagli su un abbonamento per la notifica di eventi RDS. L'abbonamento consente a RDS di pubblicare eventi su un argomento SNS.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsRdsEventSubscription` Per visualizzare le descrizioni degli `AwsRdsEventSubscription` attributi, consulta [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# AwsRedshiftrisorse in ASFF
<a name="asff-resourcedetails-awsredshift"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsRedshift`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

L'`AwsRedshiftCluster`oggetto contiene dettagli su un cluster Amazon Redshift.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsRedshiftCluster`oggetto. Per visualizzare le descrizioni degli `AwsRedshiftCluster` attributi, consulta [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# AwsRoute53risorse in ASFF
<a name="asff-resourcedetails-awsroute53"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsRoute53` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

L'`AwsRoute53HostedZone`oggetto fornisce informazioni su una zona ospitata di Amazon Route 53, inclusi i quattro name server assegnati alla zona ospitata. Una zona ospitata rappresenta una raccolta di record che possono essere gestiti insieme, appartenenti a un unico nome di dominio principale.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsRoute53HostedZone`oggetto. Per visualizzare le descrizioni degli `AwsRoute53HostedZone` attributi, vedere [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# AwsS3risorse in ASFF
<a name="asff-resourcedetails-awss3"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsS3`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

`AwsS3AccessPoint`fornisce informazioni su un punto di accesso Amazon S3. I punti di accesso S3 sono endpoint di rete denominati collegati ai bucket S3 che è possibile utilizzare per eseguire operazioni sugli oggetti S3.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsS3AccessPoint` *Per visualizzare le descrizioni degli `AwsS3AccessPoint` attributi, consulta [AWSS3 AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) nel AWS Security Hub riferimento API.*

**Esempio**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

`AwsS3AccountPublicAccessBlock`fornisce informazioni sulla configurazione del blocco di accesso pubblico di Amazon S3 per gli account.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsS3AccountPublicAccessBlock`oggetto. *Per visualizzare le descrizioni degli `AwsS3AccountPublicAccessBlock` attributi, consulta [AWSS3 AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) nel AWS Security Hub riferimento API.*

**Esempio**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

L'`AwsS3Bucket`oggetto fornisce dettagli su un bucket Amazon S3.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsS3Bucket` *Per visualizzare le descrizioni degli `AwsS3Bucket` attributi, consulta [AWSS3 BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) nel AWS Security Hub riferimento API.*

**Esempio**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

L'`AwsS3Object`oggetto fornisce informazioni su un oggetto Amazon S3.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsS3Object`oggetto. *Per visualizzare le descrizioni degli `AwsS3Object` attributi, consulta [AWSS3 ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) nel AWS Security Hub riferimento API.*

**Esempio**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# AwsSageMakerrisorse in ASFF
<a name="asff-resourcedetails-awssagemaker"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsSageMaker` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

L'`AwsSageMakerNotebookInstance`oggetto fornisce informazioni su un'istanza di notebook Amazon SageMaker AI, che è un'istanza di calcolo di machine learning che esegue l'app Jupyter Notebook.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsSageMakerNotebookInstance` Per visualizzare le descrizioni degli `AwsSageMakerNotebookInstance` attributi, consulta [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# AwsSecretsManagerrisorse in ASFF
<a name="asff-resourcedetails-awssecretsmanager"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsSecretsManager` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

L'`AwsSecretsManagerSecret`oggetto fornisce dettagli su un segreto di Secrets Manager.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsSecretsManagerSecret`oggetto. Per visualizzare le descrizioni degli `AwsSecretsManagerSecret` attributi, consulta [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# AwsSnsrisorse in ASFF
<a name="asff-resourcedetails-awssns"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsSns`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

L'`AwsSnsTopic`oggetto contiene dettagli su un argomento di Amazon Simple Notification Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsSnsTopic`oggetto. Per visualizzare le descrizioni degli `AwsSnsTopic` attributi, consulta [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# AwsSqsrisorse in ASFF
<a name="asff-resourcedetails-awssqs"></a>

Di seguito sono riportati alcuni esempi della sintassi del AWS Security Finding Format (ASFF) per le risorse. `AwsSqs`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

L'`AwsSqsQueue`oggetto contiene informazioni su una coda di Amazon Simple Queue Service.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsSqsQueue` Per visualizzare le descrizioni degli `AwsSqsQueue` attributi, consulta [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# AwsSsmrisorse in ASFF
<a name="asff-resourcedetails-awsssm"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsSsm`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

L'`AwsSsmPatchCompliance`oggetto fornisce informazioni sullo stato di una patch su un'istanza in base alla linea di base della patch utilizzata per applicare la patch all'istanza.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsSsmPatchCompliance`oggetto. Per visualizzare le descrizioni degli `AwsSsmPatchCompliance` attributi, consulta [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# AwsStepFunctionsrisorse in ASFF
<a name="asff-resourcedetails-awsstepfunctions"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsStepFunctions` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

L'`AwsStepFunctionStateMachine`oggetto fornisce informazioni su una macchina a AWS Step Functions stati, che è un flusso di lavoro costituito da una serie di passaggi basati sugli eventi.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsStepFunctionStateMachine` Per visualizzare le descrizioni degli `AwsStepFunctionStateMachine` attributi, consulta [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# AwsWafrisorse in ASFF
<a name="asff-resourcedetails-awswaf"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le `AwsWaf` risorse.

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

L'`AwsWafRateBasedRule`oggetto contiene dettagli su una regola AWS WAF basata sulla tariffa per le risorse globali. Una regola AWS WAF basata sulla tariffa fornisce impostazioni per indicare quando consentire, bloccare o contare una richiesta. Le regole basate sulla tariffa includono il numero di richieste che arrivano in un determinato periodo di tempo.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsWafRateBasedRule` Per visualizzare le descrizioni degli `AwsWafRateBasedRule` attributi, consulta [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

L'`AwsWafRegionalRateBasedRule`oggetto contiene dettagli su una regola basata sulle tariffe per le risorse regionali. Una regola basata sulla tariffa fornisce impostazioni per indicare quando consentire, bloccare o contare una richiesta. Le regole basate sulla tariffa includono il numero di richieste che arrivano in un determinato periodo di tempo.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsWafRegionalRateBasedRule` Per visualizzare le descrizioni degli `AwsWafRegionalRateBasedRule` attributi, consulta [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

L'`AwsWafRegionalRule`oggetto fornisce dettagli su una regola AWS WAF regionale. Questa regola identifica le richieste Web che desideri consentire, bloccare o contare.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsWafRegionalRule`oggetto. Per visualizzare le descrizioni degli `AwsWafRegionalRule` attributi, consulta [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

L'`AwsWafRegionalRuleGroup`oggetto fornisce dettagli su un gruppo di regole AWS WAF regionali. Un gruppo di regole è una raccolta di regole predefinite che si aggiungono a un elenco di controllo degli accessi Web (Web ACL).

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsWafRegionalRuleGroup` Per visualizzare le descrizioni degli `AwsWafRegionalRuleGroup` attributi, consulta [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl`fornisce dettagli su un elenco AWS WAF regionale di controllo degli accessi Web (Web ACL). Un ACL Web contiene le regole che identificano le richieste che si desidera consentire, bloccare o contare.

Di seguito è riportato un esempio di `AwsWafRegionalWebAcl` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayV2Stage` attributi, consulta [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule`fornisce informazioni su una AWS WAF regola. Una AWS WAF regola identifica le richieste Web che desideri consentire, bloccare o contare.

Di seguito è riportato un esempio di `AwsWafRule` risultato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayV2Stage` attributi, consulta [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup`fornisce informazioni su un gruppo di AWS WAF regole. Un gruppo di AWS WAF regole è una raccolta di regole predefinite che si aggiungono a un elenco di controllo degli accessi Web (Web ACL).

Di seguito è riportato un esempio `AwsWafRuleGroup` trovato nel AWS Security Finding Format (ASFF). Per visualizzare le descrizioni degli `AwsApiGatewayV2Stage` attributi, consulta [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

L'`AwsWafv2RuleGroup`oggetto fornisce dettagli su un gruppo di regole AWS WAF V2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsWafv2RuleGroup`oggetto. Per visualizzare le descrizioni degli `AwsWafv2RuleGroup` attributi, vedere [AwsWafv2 RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

L'`AwsWafWebAcl`oggetto fornisce dettagli su un ACL AWS WAF web.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsWafWebAcl`oggetto. Per visualizzare le descrizioni degli `AwsWafWebAcl` attributi, consulta [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

L'`AwsWafv2WebAcl`oggetto fornisce dettagli su un ACL Web AWS WAF V2.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'oggetto. `AwsWafv2WebAcl` Per visualizzare le descrizioni degli `AwsWafv2WebAcl` attributi, vedere [AwsWafv2 WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) nell'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# AwsXrayrisorse in ASFF
<a name="asff-resourcedetails-awsxray"></a>

Di seguito sono riportati alcuni esempi della sintassi ASFF ( AWS Security Finding Format) per le risorse. `AwsXray`

AWS Security Hub CSPM normalizza i risultati provenienti da varie fonti in ASFF. Per informazioni di base su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

L'`AwsXrayEncryptionConfig`oggetto contiene informazioni sulla configurazione di crittografia per AWS X-Ray.

L'esempio seguente mostra il AWS Security Finding Format (ASFF) per l'`AwsXrayEncryptionConfig`oggetto. Per visualizzare le descrizioni degli `AwsXrayEncryptionConfig` attributi, consulta [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)l'*AWS Security Hub API Reference.*

**Esempio**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# CodeRepositoryoggetto in ASFF
<a name="asff-resourcedetails-coderepository"></a>

L'`CodeRepository`oggetto fornisce informazioni su un repository di codice esterno collegato alle AWS risorse e configurato Amazon Inspector per la scansione delle vulnerabilità.

L'esempio seguente mostra la sintassi ASFF ( AWS Security Finding Format) per l'oggetto. `CodeRepository` Per visualizzare le descrizioni degli `CodeRepository` attributi, consulta l'*AWS Security Hub API [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)*Reference. Per informazioni di base su ASFF, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).

**Esempio**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# Containeroggetto in ASFF
<a name="asff-resourcedetails-container"></a>

L'esempio seguente mostra la sintassi ASFF ( AWS Security Finding Format) per l'`Container`oggetto. Per visualizzare le descrizioni degli `Container` attributi, consulta l'*AWS Security Hub API [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)*Reference. Per informazioni di base su ASFF, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).

**Esempio**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# Otheroggetto in ASFF
<a name="asff-resourcedetails-other"></a>

Nel AWS Security Finding Format (ASFF), l'`Other`oggetto specifica campi e valori personalizzati. Per ulteriori informazioni su ASFF, vedere. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md)

Utilizzando l'`Other`oggetto, è possibile specificare campi e valori personalizzati per una risorsa. È possibile utilizzare l'`Other`oggetto nei seguenti casi:
+ Il tipo di risorsa non ha un `Details` oggetto corrispondente. Per specificare i dettagli di una risorsa, utilizzate l'`Other`oggetto.
+ L'`Details`oggetto per il tipo di risorsa non include tutti gli attributi che si desidera specificare. In questo caso, utilizzate l'`Details`oggetto relativo al tipo di risorsa per specificare gli attributi disponibili. Utilizzate l'`Other`oggetto per specificare gli attributi che non sono presenti nell'oggetto specifico del tipo`Details`.
+ Il tipo di risorsa non è uno dei tipi forniti. In questo caso, `Resource.Type` impostate `Other` e utilizzate l'`Other`oggetto per specificare i dettagli.

**Tipo:** mappa di un massimo di 50 coppie chiave-valore

Ogni coppia chiave/valore deve soddisfare i seguenti requisiti.
+ La chiave deve contenere meno di 128 caratteri.
+ Il valore deve contenere meno di 1.024 caratteri.

# Visualizzazione degli approfondimenti in Security Hub CSPM
<a name="securityhub-insights"></a>

In AWS Security Hub CSPM, un'*analisi* è una raccolta di risultati correlati. Un'analisi può identificare un'area di sicurezza specifica che richiede attenzione e intervento. Ad esempio, un'analisi potrebbe evidenziare EC2 i casi oggetto di rilevazioni che rilevano pratiche di sicurezza inadeguate. Un'informazione dettagliata riunisce i risultati di tutti i provider di ricerca.

Ogni informazione dettagliata è definita da un gruppo per istruzione e filtri facoltativi. Il gruppo per istruzione indica come raggruppare i risultati corrispondenti e identifica il tipo di elemento a cui si applica l'informazione dettagliata. Ad esempio, se un'informazione dettagliata è raggruppata per identificatore di risorsa, l'informazione dettagliata produce un elenco di identificatori di risorse. I filtri opzionali identificano i risultati corrispondenti all'analisi. Ad esempio, potresti voler visualizzare solo i risultati di fornitori specifici o i risultati associati a tipi specifici di risorse.

Security Hub CSPM offre diverse informazioni gestite integrate. Non è possibile modificare o eliminare le informazioni gestite. Per tenere traccia dei problemi di sicurezza specifici del tuo AWS ambiente e del tuo utilizzo, puoi creare approfondimenti personalizzati.

La pagina **Insights** sulla console CSPM AWS di Security Hub mostra l'elenco degli approfondimenti disponibili.

Per impostazione predefinita, l'elenco mostra sia gli approfondimenti gestiti che quelli personalizzati. Per filtrare l'elenco di approfondimenti in base al tipo di analisi, scegli il tipo di analisi dal menu a discesa accanto al campo del filtro.
+ Per visualizzare tutti gli approfondimenti disponibili, scegli **Tutti gli approfondimenti**. Questa è l'opzione predefinita.
+ Per visualizzare solo gli approfondimenti gestiti, scegli **Security Hub CSPM managed** insights.
+ Per visualizzare solo approfondimenti personalizzati, scegli Informazioni **personalizzate**.

Puoi anche filtrare l'elenco degli approfondimenti in base al nome dell'approfondimento. A tale scopo, nel campo del filtro, digita il testo da utilizzare per filtrare l'elenco. Il filtro non fa distinzione tra maiuscole e minuscole. Il filtro cerca gli approfondimenti che contengono il testo in un punto qualsiasi del nome dell'approfondimento.

Un'analisi restituisce risultati solo se sono state abilitate integrazioni o standard che producono risultati corrispondenti. Ad esempio, il managed insight **29. Top resources in base al numero di controlli CIS non riusciti** restituisce risultati solo se si abilita una versione dello standard Center for Internet Security (CIS) AWS Foundations Benchmark.

# Revisione e utilizzo degli approfondimenti in Security Hub CSPM
<a name="securityhub-insights-view-take-action"></a>

Per ogni analisi, AWS Security Hub CSPM determina innanzitutto i risultati che corrispondono ai criteri di filtro, quindi utilizza l'attributo grouping per raggruppare i risultati corrispondenti.

Dalla pagina **Insights** sulla console, puoi visualizzare e intervenire sui risultati e sui risultati.

Se abiliti l'aggregazione tra aree geografiche, i risultati per gli approfondimenti gestiti (quando hai effettuato l'accesso alla regione di aggregazione) includono i risultati della regione di aggregazione e delle regioni collegate. I risultati degli approfondimenti personalizzati, se gli approfondimenti non vengono filtrati per regione, includono anche i risultati della regione di aggregazione e delle regioni collegate (se hai effettuato l'accesso alla regione di aggregazione). In altre regioni, i risultati degli approfondimenti si riferiscono solo a quella regione.

Per informazioni sulla configurazione dell'aggregazione tra regioni, vedere. [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md)

## Visualizzazione e adozione di misure in base ai risultati delle analisi
<a name="securityhub-insight-results-console"></a>

I risultati di informazione dettagliata sono costituiti dall'elenco raggruppato dei risultati dell'informazione dettagliata. Ad esempio, se l'analisi è raggruppata per identificatori di risorse, i risultati dell'analisi sono l'elenco degli identificatori di risorse. Ogni voce nell'elenco dei risultati indica il numero di risultati corrispondenti per la voce.

Se i risultati sono raggruppati per identificatore di risorsa o tipo di risorsa, i risultati includono tutte le risorse nei risultati corrispondenti. Ciò include le risorse che hanno un tipo diverso dal tipo di risorsa specificato nei criteri di filtro. Ad esempio, un'analisi identifica i risultati associati ai bucket S3. Se un risultato corrispondente contiene sia una risorsa bucket S3 che una risorsa chiave di accesso IAM, i risultati dell'analisi includono entrambe le risorse.

Nella console Security Hub CSPM, l'elenco dei risultati viene ordinato dal maggior numero di risultati corrispondenti al minor numero di risultati corrispondenti. Security Hub CSPM può visualizzare solo 100 risultati. Se sono presenti più di 100 valori di raggruppamento, vengono visualizzati solo i primi 100.

Oltre all'elenco dei risultati, i risultati dell'informazione dettagliata visualizzano una serie di grafici riepilogativi con il numero di risultati corrispondenti per gli attributi seguenti.
+ **Etichetta di gravità**: numero di risultati per ciascuna etichetta di gravità
+ **Account AWS ID**: i primi cinque account IDs per i risultati corrispondenti
+ **Tipo di risorsa**: i cinque principali tipi di risorse per i risultati corrispondenti
+ **ID risorsa**: le cinque principali risorse IDs per i risultati corrispondenti
+ **Nome del prodotto**: i cinque principali fornitori di risultati per la ricerca dei risultati corrispondenti

Se sono state configurate azioni personalizzate, puoi inviare i risultati selezionati a un'azione personalizzata. L'azione deve essere associata a una CloudWatch regola Amazon per il tipo di `Security Hub Insight Results` evento. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md). Se non hai configurato azioni personalizzate, il menu **Azioni** è disabilitato.

------
#### [ Security Hub CSPM console ]

**Per visualizzare e intervenire sui risultati degli approfondimenti (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Per visualizzare l'elenco dei risultati di informazione dettagliata, scegliere il nome dell'informazione dettagliata.

1. Selezionare la casella di controllo per ogni risultato da inviare all'azione personalizzata.

1. Dal menu **Actions (Azioni)** scegliere l'azione personalizzata.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Per visualizzare e agire in base ai risultati delle analisi (API,) AWS CLI**

Per visualizzare i risultati delle analisi, utilizzate il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)

Per identificare le informazioni da cui ottenere risultati, è necessario l'analisi ARN. Per ottenere informazioni dettagliate ARNs per approfondimenti personalizzati, utilizza l'operazione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API o il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

L'esempio seguente recupera i risultati per l'analisi specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Per informazioni su come creare azioni personalizzate a livello di codice, vedere. [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md)

------

## Visualizzazione e adozione di misure in base ai risultati delle analisi (console)
<a name="securityhub-insight-findings-console"></a>

Da un elenco dei risultati di analisi sulla console Security Hub CSPM, è possibile visualizzare l'elenco dei risultati per ogni risultato.

**Per visualizzare e agire in base ai risultati degli approfondimenti (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Per visualizzare l'elenco dei risultati di informazione dettagliata, scegliere il nome dell'informazione dettagliata.

1. Per visualizzare l'elenco dei risultati per un risultato di informazione dettagliata, scegliere la voce dall'elenco dei risultati. L'elenco dei risultati mostra i risultati attivi per il risultato di informazioni dettagliate selezionato che hanno uno stato del flusso di lavoro `NEW` o `NOTIFIED`.

Dall'elenco dei risultati, è possibile eseguire le seguenti azioni:
+ [Filtraggio dei risultati in Security Hub CSPM](securityhub-findings-manage.md)
+ [Revisione dei dettagli e della cronologia dei risultati](securityhub-findings-viewing.md#finding-view-details-console)
+ [Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM](findings-workflow-status.md)
+ [Invio dei risultati a un'azione CSPM personalizzata di Security Hub](findings-custom-action.md)

# Informazioni gestite in Security Hub CSPM
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM fornisce diverse informazioni gestite.

Non puoi modificare o eliminare le informazioni gestite da Security Hub CSPM. Puoi [visualizzare e agire in merito ai risultati e ai risultati di informazione dettagliata](securityhub-insights-view-take-action.md). Puoi anche [utilizzare un'informazione dettagliata gestita come base per una nuova informazione dettagliata personalizzata](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Come tutte le informazioni dettagliate, un'informazione dettagliata gestita restituisce i risultati solo se sono state abilitate le integrazioni di prodotti o standard di sicurezza che producono risultati corrispondenti.

Per gli approfondimenti raggruppati per identificatore di risorsa, i risultati includono gli identificatori di tutte le risorse nei risultati corrispondenti. Ciò include le risorse che hanno un tipo diverso dal tipo di risorsa indicato nei criteri di filtro. Ad esempio, insight 2 nell'elenco seguente identifica i risultati associati ai bucket Amazon S3. Se un risultato corrispondente contiene sia una risorsa bucket S3 che una risorsa chiave di accesso IAM, i risultati dell'analisi includono entrambe le risorse.

Security Hub CSPM offre attualmente le seguenti informazioni gestite:

**1. AWS risorse con il maggior numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/1`  
**Raggruppati per: identificatore** di risorse  
**Ricerca dei filtri:**  
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**2. Bucket S3 con autorizzazioni di lettura o scrittura pubblica**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/10`  
**Raggruppati per: identificatore** di risorse  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Effects/Data Exposure`
+ Il tipo di risorsa è `AwsS3Bucket`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**3. AMIs che stanno generando il maggior numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/3`  
**Raggruppati per: ID** dell'immagine dell' EC2 istanza  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**4. EC2 istanze coinvolte in tattiche, tecniche e procedure note () TTPs**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/14`  
**Raggruppati per: Resource** ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con `TTPs`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**5. AWS presidi con attività sospette relative alle chiavi di accesso**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/9`  
**Raggruppati per: nome principale** della chiave di accesso IAM  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsIamAccessKey`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**6. AWS risorse: istanze che non soddisfano gli standard di sicurezza/le migliori pratiche**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/6`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo è `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**7. AWS risorse associate alla potenziale esfiltrazione di dati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/7`  
**Raggruppati per:: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con Effects/Data Exfiltration/
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**8. AWS risorse associate al consumo non autorizzato di risorse**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/8`  
**Raggruppate per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Effects/Resource Consumption`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**9. Bucket S3 che non soddisfano standard di sicurezza o best practice**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/11`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsS3Bucket`
+ Il tipo è `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**10. Bucket S3 con dati sensibili**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/12`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsS3Bucket`
+ Il tipo inizia con `Sensitive Data Identifications/`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**11. Credenziali che possono essere state divulgate**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/13`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Sensitive Data Identifications/Passwords/`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**12. EC2 istanze in cui mancano patch di sicurezza per vulnerabilità importanti**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/16`  
**Raggruppati per: Resource** ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Software and Configuration Checks/Vulnerabilities/CVE`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**13. EC2 casi con un comportamento generale insolito**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/17`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Unusual Behaviors`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**14. EC2 istanze con porte accessibili da Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/18`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**15. EC2 istanze che non soddisfano gli standard di sicurezza/le migliori pratiche**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/19`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con uno dei seguenti valori:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**16. EC2 istanze aperte a Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/21`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**17. EC2 casi associati alla ricognizione avversaria**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/22`  
**Raggruppati** per: Resource ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con TTPs /Discovery/Recon
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**18. AWS risorse associate al malware**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/23`  
**Raggruppate per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con uno dei seguenti valori:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**19. AWS risorse associate ai problemi relativi alle criptovalute**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/24`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo inizia con uno dei seguenti valori:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**20. AWS risorse con tentativi di accesso non autorizzati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/25`  
**Raggruppate per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo inizia con uno dei seguenti valori:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**21. Indicatori di intelligence delle minacce con la maggior parte delle occorrenze nell'ultima settimana**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/26`  
**Ricerca di filtri:**  
+ Creato negli ultimi 7 giorni

**22. Principali account per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/27`  
**Raggruppati per: ID** Account AWS   
**Ricerca dei filtri:**  
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**23. Principali prodotti per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/28`  
**Raggruppati per: Nome** del prodotto  
**Ricerca dei filtri:**  
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**24. Gravità per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/29`  
**Raggruppati per: etichetta** di severità  
**Ricerca dei filtri:**  
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**25. Principali bucket S3 per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/30`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsS3Bucket`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**26. I migliori EC2 esempi in base al numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/31`  
**Raggruppati per: Resource ID**  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**27. Al primo posto AMIs per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/32`  
**Raggruppati per: ID** dell'immagine dell' EC2 istanza  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsEc2Instance`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**28. Principali utenti IAM per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/33`  
**Raggruppati per: ID** della chiave di accesso IAM  
**Ricerca di filtri:**  
+ Il tipo di risorsa è `AwsIamAccessKey`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**29. Principali risorse per numero di controlli CIS non riusciti**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/34`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ L'ID generatore inizia con `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Aggiornato nell'ultimo giorno
+ Lo stato di conformità è `FAILED`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**30. Principali integrazioni per numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/35`  
**Raggruppato per: ARN** del prodotto  
**Ricerca dei filtri:**  
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**31. Risorse con più controlli di sicurezza con esito negativo**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/36`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ Aggiornato nell'ultimo giorno
+ Lo stato di conformità è `FAILED`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**32. Utenti IAM con attività sospette**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/37`  
**Raggruppati per: utente** IAM  
**Ricerca dei filtri:**  
+ Il tipo di risorsa è `AwsIamUser`
+ Lo stato del record è `ACTIVE`
+ Lo stato del flusso di lavoro è `NEW` o `NOTIFIED`

**33. Risorse con il maggior numero di AWS Health risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/38`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ `ProductName`è uguale `Health`

**34. Risorse con il maggior numero di AWS Config risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/39`  
**Raggruppati per:** Resource ID  
**Ricerca dei filtri:**  
+ `ProductName`è uguale `Config`

**35. Applicazioni con il maggior numero di risultati**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/40`  
**Raggruppati per:** ResourceApplicationArn  
**Ricerca dei filtri:**  
+ `RecordState`è uguale `ACTIVE`
+ `Workflow.Status`è uguale o `NEW` `NOTIFIED`

# Comprendere le informazioni personalizzate in Security Hub CSPM
<a name="securityhub-custom-insights"></a>

Oltre agli approfondimenti gestiti da AWS Security Hub CSPM, puoi creare approfondimenti personalizzati in Security Hub CSPM per tenere traccia dei problemi specifici del tuo ambiente. Le informazioni personalizzate ti aiutano a tenere traccia di un sottoinsieme curato di problemi.

Ecco alcuni esempi di approfondimenti personalizzati che possono essere utili da configurare:
+ Se possiedi un account amministratore, puoi configurare informazioni dettagliate personalizzate per tenere traccia dei risultati critici e di elevata gravità che influiscono sugli account dei membri.
+ Se ti affidi a uno specifico [AWS servizio integrato](securityhub-internal-providers.md), puoi impostare una visione personalizzata per tenere traccia dei risultati critici e di elevata gravità relativi a quel servizio.
+ Se ti affidi a un'[integrazione di terze parti](securityhub-partner-providers.md), puoi impostare una visione personalizzata per tenere traccia dei risultati critici e di elevata gravità derivanti da quel prodotto integrato.

Puoi creare informazioni dettagliate personalizzate completamente nuove oppure iniziare da un'informazione dettagliata personalizzata o gestita già esistente.

Ogni analisi può essere configurata con le seguenti opzioni:
+ **Attributo di raggruppamento**: l'attributo di raggruppamento determina quali elementi vengono visualizzati nell'elenco dei risultati dell'analisi. Ad esempio, se l'attributo di raggruppamento è **Product name**, i risultati di analisi mostrano il numero di risultati associati a ciascun fornitore di ricerca.
+ **Filtri opzionali**: i filtri restringono i risultati corrispondenti per l'analisi.

  Un risultato è incluso nei risultati dell'analisi solo se corrisponde a tutti i filtri forniti. Ad esempio, se i filtri sono «Il nome del prodotto è GuardDuty» e `AwsS3Bucket` «Il tipo di risorsa è», i risultati corrispondenti devono soddisfare entrambi questi criteri.

  Tuttavia, Security Hub CSPM applica la logica OR booleana ai filtri che utilizzano lo stesso attributo ma valori diversi. Ad esempio, se i filtri sono «Il nome del prodotto è GuardDuty» e «Il nome del prodotto è Amazon Inspector», un risultato corrisponde a se è stato generato da Amazon GuardDuty o Amazon Inspector.

Se utilizzi l'identificatore della risorsa o il tipo di risorsa come attributo di raggruppamento, i risultati di analisi includono tutte le risorse presenti nei risultati corrispondenti. L'elenco non è limitato alle risorse che corrispondono a un filtro per tipo di risorsa. Ad esempio, un'analisi identifica i risultati associati ai bucket S3 e li raggruppa per identificatore di risorsa. Un risultato corrispondente contiene sia una risorsa bucket S3 che una risorsa chiave di accesso IAM. I risultati degli approfondimenti includono entrambe le risorse.

Se abiliti l'[aggregazione tra aree geografiche](finding-aggregation.md) e poi crei un'analisi personalizzata, l'analisi si applica ai risultati corrispondenti nella regione di aggregazione e nelle regioni collegate. L'eccezione è se la tua analisi include un filtro Regionale.

# Creazione di un'analisi personalizzata
<a name="securityhub-custom-insight-create-api"></a>

In AWS Security Hub CSPM, è possibile utilizzare approfondimenti personalizzati per raccogliere una serie specifica di risultati e tenere traccia dei problemi specifici del proprio ambiente. Per informazioni di base sugli approfondimenti personalizzati, consulta. [Comprendere le informazioni personalizzate in Security Hub CSPM](securityhub-custom-insights.md)

Scegli il tuo metodo preferito e segui i passaggi per creare una visione personalizzata in Security Hub CSPM

------
#### [ Security Hub CSPM console ]

**Per creare un insight personalizzato (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Scegliere **Create insight (Crea informazione dettagliata)**.

1. Per selezionare l'attributo di raggruppamento per l'informazione dettagliata:

   1. Scegli la casella di ricerca per visualizzare le opzioni di filtro.

   1. Scegliere **Group by (Raggruppa per)**.

   1. Seleziona l'attributo da utilizzare per raggruppare i risultati associati a questa analisi.

   1. Scegli **Applica**.

1. Facoltativamente, scegli eventuali filtri aggiuntivi da utilizzare per questa analisi. Per ogni filtro, definisci i criteri di filtro, quindi scegli **Applica**.

1. Scegliere **Create insight (Crea informazione dettagliata)**.

1. Inserisci un **nome per Insight**, quindi scegli **Create insight**.

------
#### [ Security Hub CSPM API ]

**Per creare un insight personalizzato (API)**

1. Per creare una visione personalizzata, utilizza il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)

1. Compila il `Name` parametro con un nome per la tua analisi personalizzata.

1. Compila il `Filters` parametro per specificare quali risultati includere nell'analisi.

1. Compilate il `GroupByAttribute` parametro per specificare quale attributo viene utilizzato per raggruppare i risultati inclusi nell'analisi.

1. Facoltativamente, compila il `SortCriteria` parametro per ordinare i risultati in base a un campo specifico.

L'esempio seguente crea una panoramica personalizzata che include risultati critici con il tipo di `AwsIamRole` risorsa. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Per creare un'analisi personalizzata (PowerShell)**

1. Utilizza il cmdlet `New-SHUBInsight`.

1. Compila il `Name` parametro con un nome per la tua analisi personalizzata.

1. Compila il `Filter` parametro per specificare quali risultati includere nell'analisi.

1. Compilate il `GroupByAttribute` parametro per specificare quale attributo viene utilizzato per raggruppare i risultati inclusi nell'analisi.

Se hai abilitato l'[aggregazione tra](finding-aggregation.md) aree geografiche e utilizzi questo cmdlet della regione di aggregazione, l'analisi si applica ai risultati corrispondenti dell'aggregazione e delle regioni collegate.

**Esempio**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Creazione di informazioni dettagliate personalizzate da un'analisi gestita (solo console)
<a name="securityhub-custom-insight-frrom-managed"></a>

Non puoi salvare modifiche o eliminare un insight gestito. Tuttavia, puoi utilizzare un'analisi gestita come base per un'analisi personalizzata. Questa opzione è disponibile solo nella console CSPM di Security Hub.

**Per creare una visione personalizzata da una visione gestita (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Scegliere l'informazione dettagliata gestita da utilizzare.

1. Modifica la configurazione di Insight secondo necessità.
   + Per modificare l'attributo utilizzato per raggruppare i risultati nell'informazione dettagliata:

     1. Per rimuovere il raggruppamento esistente, scegli la **X** accanto al **gruppo per impostazione**.

     1. Scegli la barra di ricerca.

     1. Selezionare l'attributo da utilizzare per il raggruppamento.

     1. Scegli **Applica**.
   + Per rimuovere un filtro dall'analisi, scegli la **X** cerchiata accanto al filtro.
   + Per aggiungere un filtro all'informazione dettagliata:

     1. Scegli la barra di ricerca.

     1. Selezionare l'attributo e il valore da utilizzare come filtro.

     1. Scegli **Applica**.

1. Al termine degli aggiornamenti, scegliere **Create insight (Crea informazione dettagliata)**.

1. **Quando richiesto, inserisci un **nome per Insight**, quindi scegli Crea analisi.**

# Modificare un'analisi personalizzata
<a name="securityhub-custom-insight-modify-console"></a>

È possibile modificare una visione personalizzata esistente per modificare il valore di raggruppamento e i filtri. Dopo aver apportato le modifiche, puoi salvare gli aggiornamenti nell'informazione dettagliata originale o salvare la versione aggiornata come una nuova informazione dettagliata.

In AWS Security Hub CSPM, è possibile utilizzare approfondimenti personalizzati per raccogliere una serie specifica di risultati e tenere traccia dei problemi specifici del proprio ambiente. Per informazioni di base sugli approfondimenti personalizzati, consulta. [Comprendere le informazioni personalizzate in Security Hub CSPM](securityhub-custom-insights.md)

Per modificare un'analisi personalizzata, scegli il metodo che preferisci e segui le istruzioni.

------
#### [ Security Hub CSPM console ]

**Per modificare un'analisi personalizzata (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Scegliere l'informazione dettagliata personalizzata da modificare.

1. Modifica la configurazione di Insight secondo necessità.
   + Per modificare l'attributo utilizzato per raggruppare i risultati nell'informazione dettagliata:

     1. Per rimuovere il raggruppamento esistente, scegli la **X** accanto al **gruppo per impostazione**.

     1. Scegli la barra di ricerca.

     1. Selezionare l'attributo da utilizzare per il raggruppamento.

     1. Scegli **Applica**.
   + Per rimuovere un filtro dall'analisi, scegli la **X** cerchiata accanto al filtro.
   + Per aggiungere un filtro all'informazione dettagliata:

     1. Scegli la barra di ricerca.

     1. Selezionare l'attributo e il valore da utilizzare come filtro.

     1. Scegli **Applica**.

1. Al termine degli aggiornamenti, scegliere **Save insight (Salva informazione dettagliata)**.

1. Quando richiesto, eseguire una delle operazioni seguenti:
   + Per aggiornare l'analisi esistente in modo che rifletta le modifiche, scegli **Aggiorna**, *<Insight\$1Name>* quindi scegli **Salva** analisi.
   + Per creare una nuova informazione dettagliata con gli aggiornamenti, scegliere **Save new insight (Salva nuova informazione dettagliata)**. Immettere un **Insight name (Nome informazione dettagliata)**, quindi scegliere **Save insight (Salva informazione dettagliata)**.

------
#### [ Security Hub CSPM API ]

**Per modificare un'analisi personalizzata (API)**

1. Utilizza il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI comando esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)comando.

1. Per identificare le informazioni dettagliate personalizzate che desideri aggiornare, fornisci l'Amazon Resource Name (ARN) dell'analisi. Per ottenere l'ARN di un'analisi personalizzata, usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)operazione o il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)comando.

1. Aggiorna i `GroupByAttribute` parametri `Name``Filters`, e in base alle esigenze.

L'esempio seguente aggiorna l'analisi specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Per modificare un'analisi personalizzata (PowerShell)**

1. Utilizza il cmdlet `Update-SHUBInsight`.

1. Per identificare le informazioni personalizzate, fornisci l'Amazon Resource Name (ARN) dell'analisi. Per ottenere l'ARN di un'analisi personalizzata, utilizzare il `Get-SHUBInsight` cmdlet.

1. Aggiornare i `GroupByAttribute` parametri `Name``Filter`, e in base alle esigenze.

**Esempio**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Eliminazione di un approfondimento personalizzato
<a name="securityhub-custom-insight-delete-console"></a>

In AWS Security Hub CSPM, è possibile utilizzare approfondimenti personalizzati per raccogliere una serie specifica di risultati e tenere traccia dei problemi specifici del proprio ambiente. Per informazioni di base sugli approfondimenti personalizzati, consulta. [Comprendere le informazioni personalizzate in Security Hub CSPM](securityhub-custom-insights.md)

Per eliminare un'analisi personalizzata, scegli il metodo che preferisci e segui le istruzioni. Non puoi eliminare un'analisi gestita.

------
#### [ Security Hub CSPM console ]

**Per eliminare un insight personalizzato (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Individuare l'informazione dettagliata personalizzata da eliminare.

1. Per maggiori informazioni, scegli l'icona Altre opzioni (i tre puntini nell'angolo in alto a destra della scheda).

1. Scegli **Elimina**.

------
#### [ Security Hub CSPM API ]

**Per eliminare un insight personalizzato (API)**

1. Utilizza il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI comando esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)comando.

1. Per identificare l'analisi personalizzata da eliminare, fornisci l'ARN dell'analisi. Per ottenere l'ARN di un'analisi personalizzata, usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)operazione o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)il comando.

L'esempio seguente elimina l'analisi specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Per eliminare un approfondimento personalizzato () PowerShell**

1. Utilizza il cmdlet `Remove-SHUBInsight`.

1. Per identificare l'analisi personalizzata, fornisci l'ARN dell'analisi. Per ottenere l'ARN di un'analisi personalizzata, utilizzare il `Get-SHUBInsight` cmdlet.

**Esempio**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Modifica e azione automatica dei risultati in Security Hub CSPM
<a name="automations"></a>

AWS Security Hub CSPM dispone di funzionalità che modificano e agiscono automaticamente sui risultati in base alle specifiche dell'utente.

Security Hub CSPM attualmente supporta due tipi di automazioni:
+ **Regole di automazione**: aggiorna e sopprime automaticamente i risultati quasi in tempo reale in base a criteri definiti dall'utente.
+ **Risposta e correzione automatizzate**: crea EventBridge regole Amazon personalizzate che definiscono azioni automatiche da intraprendere in base a risultati e approfondimenti specifici.

Le regole di automazione sono utili quando desideri aggiornare automaticamente i campi di ricerca nel AWS Security Finding Format (ASFF). Ad esempio, puoi utilizzare una regola di automazione per aggiornare il livello di gravità o lo stato del flusso di lavoro dei risultati di specifiche integrazioni di terze parti. L'utilizzo della regola di automazione elimina la necessità di aggiornare manualmente il livello di gravità o lo stato del flusso di lavoro di ogni risultato di questo prodotto di terze parti.

EventBridge le regole sono utili quando si desidera intraprendere azioni al di fuori di Security Hub CSPM in relazione a risultati specifici o inviare risultati specifici a strumenti di terze parti per la correzione o ulteriori indagini. Le regole possono essere utilizzate per attivare azioni supportate, come richiamare una AWS Lambda funzione o notificare un argomento di Amazon Simple Notification Service (Amazon SNS) su un risultato specifico.

Le regole di automazione entrano in vigore prima dell' EventBridge applicazione delle regole. In altre parole, le regole di automazione vengono attivate e aggiornano un risultato prima di EventBridge riceverlo. EventBridge le regole si applicano quindi al risultato aggiornato.

Quando configuri le automazioni per i controlli di sicurezza, consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub CSPM aggiorni occasionalmente i titoli e le descrizioni dei controlli, il controllo IDs rimane lo stesso.

**Topics**
+ [

# Comprensione delle regole di automazione in Security Hub CSPM
](automation-rules.md)
+ [

# Utilizzo EventBridge per la risposta e la correzione automatizzate
](securityhub-cloudwatch-events.md)

# Comprensione delle regole di automazione in Security Hub CSPM
<a name="automation-rules"></a>

È possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Man mano che acquisisce i risultati, Security Hub CSPM può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.

Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
+ Elevare il livello di gravità di un risultato a `CRITICAL` se l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda.
+ Elevare la gravità di un risultato `HIGH` da `CRITICAL` se il risultato influisce sulle risorse di specifici account di produzione.
+ Assegnazione di risultati specifici che hanno la stessa gravità dello stato del `SUPPRESSED` flusso `INFORMATIONAL` di lavoro.

È possibile creare e gestire le regole di automazione solo da un account amministratore CSPM di Security Hub.

Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub CSPM. Puoi anche iniziare con un modello e modificarlo secondo necessità.

## Definizione dei criteri e delle azioni delle regole
<a name="automation-rules-how-it-works"></a>

*Da un account amministratore CSPM di Security Hub, è possibile creare una regola di automazione definendo uno o più *criteri* di regola e una o più azioni delle regole.* Quando un risultato corrisponde ai criteri definiti, Security Hub CSPM applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedere. [Criteri e azioni delle regole disponibili](#automation-rules-criteria-actions)

Security Hub CSPM attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.

L'account amministratore CSPM di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori CSPM di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.

Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console CSPM di Security Hub, l'API CSPM di Security Hub o. [AWS CloudFormation](creating-resources-with-cloudformation.md) [È inoltre possibile utilizzare uno script di distribuzione multiregionale.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)

## Criteri e azioni delle regole disponibili
<a name="automation-rules-criteria-actions"></a>

I seguenti campi ASFF ( AWS Security Finding Format) sono attualmente supportati come criteri per le regole di automazione:


| Criterio della regola | Operatori di filtro | Tipo di campo  | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ComplianceStatus  | Is, Is Not  | Seleziona: [FAILED,,NOT\$1AVAILABLE,PASSED] WARNING  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Numero  | 
| CreatedAt  | Start, End, DateRange  | Data (formattata come 2022-12-01T 21:47:39.269 Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Numero  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| FirstObservedAt  | Start, End, DateRange  | Data (formattata come 2022-12-01T 21:47:39.269 Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| LastObservedAt  | Start, End, DateRange  | Data (formattata come 2022-12-01T 21:47:39.269 Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| NoteUpdatedAt  | Start, End, DateRange  | Data (formattata come 2022-12-01T 21:47:39.269 Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Eseguire la mappatura  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Eseguire la mappatura  | 
| ResourceType  | Is, Is Not  | Seleziona ([vedi](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Risorse supportate da ASFF)  | 
| SeverityLabel  | Is, Is Not  | Seleziona: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| UpdatedAt  | Start, End, DateRange  | Data (formattata come 2022-12-01T 21:47:39.269 Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Eseguire la mappatura  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Stringa  | 
| WorkflowStatus  | Is, Is Not  | Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED  | 

Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il riferimento [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)all'*API CSPM AWS di Security Hub*.

Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)il riferimento all'API *CSPM AWS di Security Hub*.

I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Per ulteriori informazioni su campi ASFF specifici, vedere la sintassi del [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).

**Suggerimento**  
 Se desideri che Security Hub CSPM smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. [Disabilitazione dei controlli in Security Hub CSPM](disable-controls-overview.md)

## Risultati valutati dalle regole di automazione
<a name="automation-rules-findings"></a>

Una regola di automazione valuta i risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce tramite l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione *dopo* la creazione della regola. Security Hub CSPM aggiorna i risultati del controllo ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti utilizzando il `BatchImportFindings` funzionamento dell'API CSPM Security Hub. Se i seguenti campi non esistono nel risultato originale, Security Hub CSPM popola automaticamente i campi e quindi utilizza i valori popolati nella valutazione mediante la regola di automazione:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Dopo aver creato una o più regole di automazione, le regole non vengono attivate se si aggiornano i campi di ricerca utilizzando l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Se crei una regola di automazione e apporti un `BatchUpdateFindings` aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:

1. Si utilizza l'`BatchUpdateFindings`operazione per modificare il valore del `Workflow.Status` campo di un risultato da `NEW` a`NOTIFIED`.

1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`NOTIFIED`.

1. Si crea una regola di automazione che modifica il `Workflow.Status` campo del risultato da `NEW` a`SUPPRESSED`. (Ricorda che le regole ignorano gli aggiornamenti effettuati utilizzando l'`BatchUpdateFindings`operazione.)

1. Il fornitore dei risultati utilizza l'`BatchImportFindings`operazione per aggiornare il risultato e modifica il valore del `Workflow.Status` campo del risultato in`NEW`.

1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`SUPPRESSED`. Ciò è dovuto al fatto che è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.

Quando si crea o si modifica una regola sulla console CSPM di Security Hub, la console visualizza una versione beta dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, la versione beta della console riflette i risultati nel loro stato finale così come sarebbero mostrati in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operazione (ovvero dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).

## Come funziona l'ordine delle regole
<a name="rule-order"></a>

Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub CSPM applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.

Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.

Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub CSPM applica le regole successive in ordine crescente.

Quando si crea una regola tramite l'API CSPM di Security Hub o AWS CLI, Security Hub CSPM, applica per prima la regola con il valore numerico più basso. `RuleOrder` Quindi applica le regole successive in ordine crescente. Se più risultati sono uguali`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

È possibile modificare l'ordine delle regole in qualsiasi momento.

**Esempio di ordine delle regole**:

**Regola A (l'ordine delle regole è`1`)**:
+ Criteri della regola A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` è `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` è `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Azioni della regola A
  + Aggiorna `Confidence` a `95`
  + Aggiorna `Severity` a `CRITICAL`

**Regola B (l'ordine delle regole è`2`)**:
+ Criteri della regola B
  + `AwsAccountId` = `123456789012`
+ Azioni della regola B
  + Aggiorna `Severity` a `INFORMATIONAL`

Le azioni della Regola A si applicano innanzitutto ai risultati CSPM di Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati CSPM di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei `Severity` risultati derivanti dall'ID account specificato è. `INFORMATIONAL` In base all'azione della Regola A, il valore finale dei `Confidence` risultati corrispondenti è`95`.

# Creazione di regole di automazione
<a name="create-automation-rules"></a>

È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. È possibile creare una regola di automazione personalizzata partendo da zero o, nella console CSPM di Security Hub, utilizzare un modello di regola precompilato. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)

È possibile creare una sola regola di automazione alla volta. Per creare più regole di automazione, segui le procedure della console più volte oppure chiama l'API o il comando più volte con i parametri desiderati.

È necessario creare una regola di automazione in ogni regione e account in cui si desidera che la regola si applichi ai risultati.

Quando si crea una regola di automazione nella console CSPM di Security Hub, Security Hub CSPM mostra una versione beta dei risultati a cui si applica la regola. La versione beta non è attualmente supportata se i criteri della regola includono un filtro CONTAINS o NOT\$1CONTAINS. Puoi scegliere questi filtri per i tipi di campi di tipo map e string.

**Importante**  
AWS consiglia di non includere informazioni di identificazione personale, riservate o sensibili nel nome della regola, nella descrizione o in altri campi.

## Creazione di una regola di automazione personalizzata
<a name="create-automation-rules-custom"></a>

Scegli il tuo metodo preferito e completa i passaggi seguenti per creare una regola di automazione personalizzata.

------
#### [ Console ]

**Per creare una regola di automazione personalizzata (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea regola personalizzata**.

1. Nella sezione **Regola**, fornisci un nome e una descrizione univoci per la regola.

1. Per **Criteri**, utilizza i menu a discesa **Chiave**, **Operatore** e **Valore** per specificare i criteri della regola. È necessario specificare almeno un criterio di regola.

   Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.

1. Per l'**azione automatizzata**, utilizza i menu a discesa per specificare quali campi di ricerca aggiornare quando i risultati soddisfano i criteri delle regole. È necessario specificare almeno un'azione relativa alla regola.

1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** **o disabilitata** dopo la creazione.

1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.

1. Scegli **Crea regola**.

------
#### [ API ]

**Per creare una regola di automazione (API) personalizzata**

1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dall'account amministratore CSPM di Security Hub. Questa API crea una regola con un Amazon Resource Name (ARN) specifico.

1. Fornisci un nome e una descrizione per la regola.

1. Imposta il `IsTerminal` parametro su `true` se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

1. Per il `RuleOrder` parametro, specificate l'ordine della regola. Security Hub CSPM applica prima le regole con un valore numerico inferiore per questo parametro.

1. Per il `RuleStatus` parametro, specificate se desiderate abilitare Security Hub CSPM e iniziate ad applicare la regola ai risultati dopo la creazione. Se non viene specificato alcun valore, il valore predefinito è `ENABLED`. Un valore di `DISABLED` indica che la regola viene messa in pausa dopo la creazione.

1. Per il `Criteria` parametro, fornite i criteri che desiderate che Security Hub CSPM utilizzi per filtrare i risultati. L'azione della regola si applicherà ai risultati che corrispondono ai criteri. Per un elenco dei criteri supportati, vedere[Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions).

1. Per il `Actions` parametro, specificate le azioni che desiderate che Security Hub CSPM intraprenda quando c'è una corrispondenza tra un risultato e i criteri definiti. Per un elenco delle azioni supportate, consulta. [Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions)

Il AWS CLI comando di esempio seguente crea una regola di automazione che aggiorna lo stato del flusso di lavoro e la nota dei risultati corrispondenti. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## Creazione di una regola di automazione da un modello (solo console)
<a name="create-automation-rules-template"></a>

I modelli di regole riflettono i casi d'uso comuni delle regole di automazione. Attualmente, solo la console CSPM di Security Hub supporta i modelli di regole. Completa i seguenti passaggi per creare una regola di automazione da un modello nella console.

**Per creare una regola di automazione da un modello (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea una regola dal modello**.

1. Seleziona un modello di regola dal menu a discesa.

1. (Facoltativo) Se necessario per il tuo caso d'uso, modifica le sezioni **Regola**, **Criteri** e **Azione automatizzata**. È necessario specificare almeno un criterio di regola e un'azione della regola.

   Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.

1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** o **disabilitata** dopo la sua creazione.

1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.

1. Scegli **Crea regola**.

# Visualizzazione delle regole di automazione
<a name="view-automation-rules"></a>

È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)

Scegli il tuo metodo preferito e segui i passaggi per visualizzare le regole di automazione esistenti e i dettagli di ciascuna regola.

Per visualizzare una cronologia di come le regole di automazione hanno modificato i risultati, consulta[Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM](securityhub-findings-viewing.md).

------
#### [ Console ]

**Per visualizzare le regole di automazione (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Scegli il nome di una regola. In alternativa, seleziona una regola.

1. Scegli **Azioni** e **Visualizza**.

------
#### [ API ]

**Per visualizzare le regole di automazione (API)**

1. Per visualizzare le regole di automazione per il tuo account, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dall'account amministratore CSPM di Security Hub. Questa API restituisce la regola ARNs e altri metadati per le tue regole. Non sono richiesti parametri di input per questa API, ma puoi facoltativamente fornire un limite `MaxResults` al numero di risultati e `NextToken` come parametro di paginazione. Il valore iniziale di `NextToken` dovrebbe essere. `NULL`

1. Per ulteriori dettagli sulla regola, inclusi i criteri e le azioni per una regola, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dall'account amministratore CSPM di Security Hub. Fornisci le regole ARNs di automazione per le quali desideri i dettagli.

   L'esempio seguente recupera i dettagli per le regole di automazione specificate. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# Modifica delle regole di automazione
<a name="edit-automation-rules"></a>

È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)

Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola. Quando si modifica una regola di automazione, le modifiche si applicano ai risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce dopo la modifica della regola.

Scegli il tuo metodo preferito e segui i passaggi per modificare il contenuto di una regola di automazione. Puoi modificare una o più regole con una sola richiesta. Per istruzioni sulla modifica dell'ordine delle regole, vedere[Modifica dell'ordine delle regole di automazione](edit-rule-order.md).

------
#### [ Console ]

**Per modificare le regole di automazione (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Seleziona la regola che desideri modificare. Scegli **Azione** e **Modifica**.

1. Modifica la regola come desideri e scegli **Salva modifiche**.

------
#### [ API ]

**Per modificare le regole di automazione (API)**

1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dall'account amministratore CSPM di Security Hub.

1. Per il `RuleArn` parametro, fornite l'ARN delle regole che desiderate modificare.

1. Fornite i nuovi valori per i parametri che desiderate modificare. È possibile modificare qualsiasi parametro tranne`RuleArn`.

L’esempio seguente aggiornala regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# Modifica dell'ordine delle regole di automazione
<a name="edit-rule-order"></a>

È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)

Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola.

Se desideri mantenere invariati i criteri e le azioni della regola, ma modificare l'ordine in cui Security Hub CSPM applica una regola di automazione, puoi modificare solo l'ordine delle regole. Scegli il tuo metodo preferito e segui i passaggi per modificare l'ordine delle regole.

Per istruzioni sulla modifica dei criteri o delle azioni di una regola di automazione, consulta[Modifica delle regole di automazione](edit-automation-rules.md).

------
#### [ Console ]

**Per modificare l'ordine delle regole di automazione (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Seleziona la regola di cui desideri modificare l'ordine. Scegli **Modifica priorità**.

1. Scegli **Sposta su** per aumentare la priorità della regola di un'unità. Scegli **Sposta giù** per ridurre la priorità della regola di un'unità. Scegli **Sposta in alto** per assegnare alla regola un ordine pari a **1** (in questo modo la regola ha la precedenza sulle altre regole esistenti).

**Nota**  
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima.

------
#### [ API ]

**Per modificare l'ordine delle regole di automazione (API)**

1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.

1. Per il `RuleArn` parametro, fornite l'ARN delle regole di cui desiderate modificare l'ordine.

1. Modifica il valore del `RuleOrder` campo.

**Nota**  
Se più regole hanno le stesse`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

------

# Eliminazione o disabilitazione delle regole di automazione
<a name="delete-automation-rules"></a>

È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)

Quando elimini una regola di automazione, Security Hub CSPM la rimuove dal tuo account e non applica più la regola ai risultati. In alternativa all'eliminazione, puoi *disabilitare una regola*. Ciò mantiene la regola per utilizzi futuri, ma Security Hub CSPM non applicherà la regola a nessun risultato corrispondente finché non lo abiliti.

Scegli il tuo metodo preferito e segui i passaggi per eliminare una regola di automazione. Puoi eliminare una o più regole in un'unica richiesta.

------
#### [ Console ]

**Per eliminare o disabilitare le regole di automazione (console)**

1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Automazioni.**

1. Seleziona le regole che desideri eliminare. Scegliete **Azione** ed **Elimina** (per mantenere una regola, ma disattivarla temporaneamente, scegliete **Disabilita**).

1. Conferma la scelta e seleziona **Delete (Elimina)**.

------
#### [ API ]

**Per eliminare o disabilitare le regole di automazione (API)**

1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.

1. Per il `AutomationRulesArns` parametro, fornisci l'ARN delle regole che desideri eliminare (per mantenere una regola, ma disabilitarla temporaneamente, inserisci `DISABLED` il `RuleStatus` parametro).

L’esempio seguente elimina la regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# Esempi di regole di automazione
<a name="examples-automation-rules"></a>

Questa sezione fornisce esempi di regole di automazione per i casi d'uso CSPM più comuni di Security Hub. Questi esempi corrispondono ai modelli di regole disponibili nella console CSPM di Security Hub.

## Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio
<a name="example-automation-rule-severity-resource"></a>

In questo esempio, i criteri della regola vengono soddisfatti quando il `ResourceId` risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL` È possibile modificare questo modello per applicarlo ad altre risorse.

**Esempio di richiesta API**:

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Esempio di comando CLI:**

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Elevare la severità dei risultati relativi alle risorse negli account di produzione
<a name="example-automation-rule-severity-change"></a>

In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di `HIGH` gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL`

**Esempio di richiesta API**:

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Esempio di comando CLI:**

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Sopprime i risultati informativi
<a name="example-automation-rule-change-workflow"></a>

In questo esempio, i criteri della regola vengono soddisfatti per i risultati di `INFORMATIONAL` gravità inviati a Security Hub CSPM da Amazon. GuardDuty L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. `SUPPRESSED`

**Esempio di richiesta API**:

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Esempio di comando CLI:**

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# Utilizzo EventBridge per la risposta e la correzione automatizzate
<a name="securityhub-cloudwatch-events"></a>

Creando regole in Amazon EventBridge, puoi rispondere automaticamente ai risultati del AWS Security Hub CSPM. Security Hub CSPM invia i risultati sotto forma di *eventi* EventBridge in tempo quasi reale. Puoi scrivere semplici regole per indicare a quali eventi sei interessato e quali azioni automatiche intraprendere quando un evento corrisponde a una regola. Le azioni che possono essere attivate automaticamente includono le seguenti:
+ Invocare una funzione AWS Lambda 
+ Richiamo del comando run di Amazon EC2
+ Inoltro dell'evento a Amazon Kinesis Data Streams
+ Attivazione di una macchina a stati AWS Step Functions 
+ Notifica di un argomento Amazon SNS o di una coda Amazon SQS
+ Invio di una ricerca a uno strumento di gestione di ticket, chat, SIEM o risposta agli incidenti di terze parti

Security Hub CSPM invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come EventBridge eventi. È inoltre possibile creare azioni personalizzate che consentono di inviare risultati selezionati e risultati di approfondimenti a. EventBridge

Quindi configuri EventBridge le regole per rispondere a ogni tipo di evento.

Per ulteriori informazioni sull'utilizzo EventBridge, consulta la [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).

**Nota**  
Come best practice, assicurati che le autorizzazioni concesse ai tuoi utenti per accedere EventBridge utilizzino politiche di least-privilege AWS Identity and Access Management (IAM) che concedono solo le autorizzazioni richieste.  
Per ulteriori informazioni, consulta [Gestione delle identità e degli accessi in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html). 

In Soluzioni è disponibile anche un set di modelli per la risposta e la correzione automatizzate tra più account. AWS I modelli sfruttano le regole EventBridge degli eventi e le funzioni Lambda. La soluzione viene distribuita utilizzando e. CloudFormation AWS Systems Manager La soluzione può creare azioni di risposta e riparazione completamente automatizzate. Può anche utilizzare le azioni personalizzate CSPM di Security Hub per creare azioni di risposta e riparazione attivate dall'utente. Per i dettagli su come configurare e utilizzare la soluzione, consulta la pagina [Automated Security](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) Response on solution. AWS

**Topics**
+ [

# Tipi di eventi CSPM di Security Hub in EventBridge
](securityhub-cwe-integration-types.md)
+ [

# EventBridge formati di eventi per Security Hub CSPM
](securityhub-cwe-event-formats.md)
+ [

# Configurazione di una EventBridge regola per i risultati CSPM di Security Hub
](securityhub-cwe-all-findings.md)
+ [

# Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge
](securityhub-cwe-custom-actions.md)

# Tipi di eventi CSPM di Security Hub in EventBridge
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM utilizza i seguenti tipi di EventBridge eventi Amazon con cui integrarsi. EventBridge

Nella EventBridge dashboard di Security Hub CSPM, **All Events** include tutti questi tipi di eventi.

## Tutti i risultati (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come **Security Hub Findings - Imported**eventi. Ogni **Security Hub Findings - Imported**evento contiene un singolo risultato.

Ogni [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)richiesta fa scattare un **Security Hub Findings - Imported**evento.

Per gli account amministratore, il feed degli eventi EventBridge include gli eventi relativi ai risultati sia del loro account che dei loro account membro.

In una regione di aggregazione, il feed degli eventi include gli eventi relativi ai risultati della regione di aggregazione e delle regioni collegate. I risultati interregionali sono inclusi nel feed degli eventi quasi in tempo reale. Per informazioni su come configurare l'aggregazione dei risultati, consulta. [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md)

È possibile definire regole EventBridge che indirizzino automaticamente i risultati a un flusso di lavoro di riparazione, a uno strumento di terze parti o a un [altro obiettivo supportato EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Le regole possono includere filtri che applicano la regola solo se il risultato ha valori di attributo specifici.

Si utilizza questo metodo per inviare automaticamente tutti i risultati, o tutti i risultati con caratteristiche specifiche, a un flusso di lavoro di risposta o correzione.

Per informazioni, consulta [Configurazione di una EventBridge regola per i risultati CSPM di Security Hub](securityhub-cwe-all-findings.md).

## Risultati per azioni personalizzate (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

Security Hub CSPM invia anche i risultati associati ad azioni personalizzate agli eventi EventBridge as **Security Hub Findings - Custom Action**.

Ciò è utile per gli analisti che lavorano con la console CSPM di Security Hub e desiderano inviare un risultato specifico, o un piccolo insieme di risultati, a un flusso di lavoro di risposta o correzione. È possibile selezionare un'operazione personalizzata per un massimo di 20 risultati alla volta. Ogni risultato viene inviato EventBridge come evento separato. EventBridge 

Quando si crea un'azione personalizzata, le si assegna un ID di azione personalizzato. Puoi utilizzare questo ID per creare una EventBridge regola che esegua un'azione specifica dopo aver ricevuto un risultato associato a quell'ID di azione personalizzato.

Per informazioni, consulta [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).

Ad esempio, è possibile creare un'azione personalizzata in Security Hub CSPM chiamata. `send_to_ticketing` Quindi EventBridge, si crea una regola che viene attivata quando si EventBridge riceve un risultato che include l'ID dell'azione `send_to_ticketing` personalizzato. La regola include la logica per inviare il risultato al sistema di ticket. È quindi possibile selezionare i risultati all'interno di Security Hub CSPM e utilizzare l'azione personalizzata in Security Hub CSPM per inviare manualmente i risultati al sistema di ticketing.

Per esempi su come inviare i risultati CSPM di Security Hub EventBridge per un'ulteriore elaborazione, consulta [Come integrare le azioni personalizzate CSPM di AWS Security Hub con PagerDuty e Come abilitare le azioni personalizzate](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) sul blog AWS Partner Network (APN).

## Risultati di analisi per le operazioni personalizzate (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

Puoi anche utilizzare azioni personalizzate per inviare serie di risultati di analisi come eventi. EventBridge **Security Hub Insight Results** I risultati di Insight sono le risorse che corrispondono a un'intuizione. Tieni presente che quando invii i risultati degli approfondimenti a EventBridge, non invii i risultati a EventBridge. Stai inviando solo gli identificatori delle risorse associati ai risultati degli approfondimenti. È possibile inviare fino a 100 identificatori di risorse alla volta.

Analogamente alle azioni personalizzate per i risultati, devi prima creare l'azione personalizzata in Security Hub CSPM, quindi creare una regola in. EventBridge

Per informazioni, consulta [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).

Ad esempio, supponiamo di vedere un particolare risultato di interesse approfondito che desideri condividere con un collega. In tal caso, puoi utilizzare un'azione personalizzata per inviare il risultato di tale analisi al collega tramite una chat o un sistema di ticketing.

# EventBridge formati di eventi per Security Hub CSPM
<a name="securityhub-cwe-event-formats"></a>

I tipi di **Security Hub Insight Results**eventi **Security Hub Findings - Imported**Security Findings - Custom Action****, e utilizzano i seguenti formati di evento.

Il formato dell'evento è il formato utilizzato quando Security Hub CSPM invia un evento a. EventBridge

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

**Security Hub Findings - Imported**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato.

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>`è il contenuto, in formato JSON, del risultato inviato dall'evento. Ogni evento invia un singolo risultato.

Per un elenco completo degli attributi di ricerca, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).

Per informazioni su come configurare EventBridge le regole attivate da questi eventi, vedere[Configurazione di una EventBridge regola per i risultati CSPM di Security Hub](securityhub-cwe-all-findings.md).

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

**Security Hub Findings - Custom Action**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato. Ogni risultato viene inviato in un evento separato.

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>`è il contenuto, in formato JSON, del risultato inviato dall'evento. Ogni evento invia un singolo risultato.

Per un elenco completo degli attributi di ricerca, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).

Per informazioni su come configurare EventBridge le regole attivate da questi eventi, vedere[Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

**Security Hub Insight Results**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato.

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

Per informazioni su come creare una EventBridge regola attivata da questi eventi, vedere. [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md)

# Configurazione di una EventBridge regola per i risultati CSPM di Security Hub
<a name="securityhub-cwe-all-findings"></a>

Puoi creare una regola in Amazon EventBridge che definisce un'azione da intraprendere quando viene ricevuto un **Security Hub Findings - Imported**evento. **Security Hub Findings - Imported**gli eventi vengono attivati dagli aggiornamenti [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)delle operazioni [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)e.

Ogni regola contiene uno schema di eventi, che identifica gli eventi che attivano la regola. Il modello di evento contiene sempre l'origine dell'evento (`aws.securityhub`) e il tipo di evento (**Security Hub Findings - Imported**). Il modello di evento può anche specificare filtri per identificare i risultati a cui si applica la regola.

La regola dell'evento identifica quindi gli obiettivi della regola. Gli obiettivi sono le azioni da intraprendere quando EventBridge riceve un evento **Security Hub Findings - Imported** e il risultato corrisponde ai filtri.

Le istruzioni fornite qui utilizzano la EventBridge console. Quando usi la console, crea EventBridge automaticamente la policy basata sulle risorse richiesta che consente di scrivere su Amazon EventBridge Logs. CloudWatch 

Puoi anche utilizzare il [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funzionamento dell'API. EventBridge Tuttavia, se si utilizza l' EventBridge API, è necessario creare la politica basata sulle risorse. Per informazioni sulla politica richiesta, consulta [CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) nella *Amazon EventBridge User* Guide.

## Formato del modello di evento
<a name="securityhub-cwe-all-findings-rule-format"></a>

Il formato del pattern di eventi per **Security Hub Findings - Imported** events è il seguente:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source`identifica Security Hub CSPM come il servizio che genera l'evento.
+ `detail-type`identifica il tipo di evento.
+ `detail`è facoltativo e fornisce i valori del filtro per il modello di evento. Se il modello di evento non contiene un `detail` campo, tutti i risultati attivano la regola.

È possibile filtrare i risultati in base a qualsiasi attributo di ricerca. Per ogni attributo, fornisci una matrice separata da virgole di uno o più valori.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Se si fornisce più di un valore per un attributo, tali valori vengono uniti. `OR` Un risultato corrisponde al filtro per un singolo attributo se il risultato contiene uno dei valori elencati. Ad esempio, se si forniscono entrambi `INFORMATIONAL` e `LOW` come valori per`Severity.Label`, il risultato corrisponde se ha un'etichetta di gravità pari `INFORMATIONAL` o uguale a uno dei due`LOW`.

Gli attributi sono uniti da`AND`. Una ricerca corrisponde se corrisponde ai criteri di filtro per tutti gli attributi forniti.

Quando si fornisce un valore di attributo, questo deve riflettere la posizione di tale attributo all'interno della struttura AWS Security Finding Format (ASFF).

**Suggerimento**  
Quando si filtrano i risultati del controllo, si consiglia di utilizzare i [campi `SecurityControlId` o `SecurityControlArn` ASFF](securityhub-findings-format.md) come filtri, anziché o. `Title` `Description` Questi ultimi campi possono cambiare occasionalmente, mentre l'ID di controllo e l'ARN sono identificatori statici.

Nell'esempio seguente, il pattern di eventi fornisce valori di filtro per `ProductArn` e`Severity.Label`, quindi, una ricerca corrisponde se è stata generata da Amazon Inspector e ha un'etichetta di gravità pari o `INFORMATIONAL` uguale a quella indicata. `LOW`

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Creazione di una regola di evento
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

È possibile utilizzare un pattern di eventi predefinito o un pattern di eventi personalizzato in EventBridge cui creare una regola. Se si seleziona un pattern predefinito, compila EventBridge automaticamente e. `source` `detail-type` EventBridge fornisce inoltre campi per specificare i valori di filtro per i seguenti attributi di ricerca:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Per creare una EventBridge regola (console)**

1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Utilizzando i seguenti valori, crea una EventBridge regola che monitora la ricerca degli eventi:
   + Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
   + Scegliete come creare lo schema degli eventi.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Per **i tipi di Target**, scegli il **AWS servizio** e per **Seleziona una destinazione**, scegli una destinazione come un argomento o AWS Lambda una funzione di Amazon SNS. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.

   Per informazioni dettagliate sulla creazione di regole, consulta [la sezione Creazione di EventBridge regole Amazon che reagiscono agli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) nella *Amazon EventBridge User Guide*.

# Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge
<a name="securityhub-cwe-custom-actions"></a>

Per utilizzare le azioni personalizzate AWS di Security Hub CSPM per inviare risultati o approfondimenti ad Amazon EventBridge, devi prima creare l'azione personalizzata in Security Hub CSPM. Quindi, puoi definire regole EventBridge che si applicano alle tue azioni personalizzate.

Puoi creare fino a 50 azioni personalizzate.

Se abiliti l'aggregazione tra regioni e gestisci i risultati dalla regione di aggregazione, crea azioni personalizzate nella regione di aggregazione.

La regola EventBridge utilizza l'Amazon Resource Name (ARN) dell'azione personalizzata.

# Creazione di un'azione personalizzata
<a name="securityhub-cwe-configure"></a>

Quando si crea un'azione personalizzata in AWS Security Hub CSPM, si specifica il nome, la descrizione e un identificatore univoco.

Un'azione personalizzata specifica le azioni da intraprendere quando un EventBridge evento corrisponde a una regola. EventBridge Security Hub CSPM invia ogni risultato EventBridge come evento.

Scegli il tuo metodo preferito e segui i passaggi per creare un'azione personalizzata.

------
#### [ Console ]

**Per creare un'azione personalizzata in Security Hub CSPM (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegliere **Settings (Impostazioni)**, quindi **Custom actions (Operazioni personalizzate)**.

1. Scegliere **Create custom action (Crea operazione personalizzata)**.

1. Fornire **Name (Nome)**, **Description (Descrizione)** e **Custom action ID (ID operazione personalizzata)** per l'operazione.

   Il campo **Name (Nome)** non deve contenere più di 20 caratteri.

   L'**ID dell'azione personalizzata** deve essere unico per ogni AWS account.

1. Scegliere **Create custom action (Crea operazione personalizzata)**.

1. Prendere nota dell'**operazione ARN personalizzata**. È necessario utilizzare l'ARN quando si crea una regola da associare a questa operazione in EventBridge.

------
#### [ API ]

**Per creare un'azione personalizzata (API)**

Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)operazione. Se stai usando AWS CLI, esegui il [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.

L'esempio seguente crea un'azione personalizzata per inviare i risultati a uno strumento di correzione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# Definizione di una regola in EventBridge
<a name="securityhub-cwe-define-rule"></a>

Per attivare un'azione personalizzata in Amazon EventBridge, devi creare una regola corrispondente in EventBridge. La definizione della regola include l'Amazon Resource Name (ARN) dell'azione personalizzata.

Il modello di evento per un evento **Security Hub Findings - Custom Action** ha il seguente formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

Il modello di evento per un evento **Security Hub Insight Results** ha il seguente formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

In entrambi i modelli, `<custom action ARN>` è l'ARN di un'azione personalizzata. È possibile configurare una regola che si applica a più di un'azione personalizzata.

Le istruzioni fornite qui si riferiscono alla EventBridge console. Quando si utilizza la console, crea EventBridge automaticamente la politica basata sulle risorse richiesta che consente la scrittura nei EventBridge registri. CloudWatch 

Puoi anche utilizzare il funzionamento dell'[https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API. EventBridge Tuttavia, se utilizzi l' EventBridge API, devi creare la politica basata sulle risorse. Per i dettagli sulla politica richiesta, consulta [CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) nella *Amazon EventBridge User* Guide.

**Per definire una regola in EventBridge (console) EventBridge**

1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Nel pannello di navigazione, scegli **Regole**.

1. Scegli **Crea regola**.

1. Inserisci un nome e una descrizione per la regola.

1. Per **Router di eventi**, scegli quello che desideri associare a questa regola. Se vuoi che questa regola corrisponda agli eventi provenienti dal tuo account, seleziona **Predefinito**. Quando un servizio di AWS nell'account emette un evento, passa sempre al bus di eventi predefinito dell'account.

1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.

1. Scegli **Next (Successivo)**.

1. Per **Event source** (Origine eventi), seleziona **AWS events** (Eventi ).

1. Per **Modello di eventi**, scegli **Modulo di modello di eventi**.

1. Per **Origine evento**, scegli **Servizi AWS **.

1. Per l'**AWS assistenza**, scegli **Security Hub**.

1. Per **Tipo di evento**, procedere in uno dei seguenti modi:
   + Per creare una regola da applicare quando invii i risultati a un'azione personalizzata, scegli **Security Hub Findings - Azione personalizzata**.
   + Per creare una regola da applicare quando invii i risultati di analisi a un'azione personalizzata, scegli **Security Hub Insight Results**.

1. Scegli **Azione personalizzata specifica ARNs**, aggiungi un ARN di azione personalizzata.

   Se la regola si applica a più azioni personalizzate, scegli **Aggiungi** per aggiungere altre azioni ARNs personalizzate.

1. Scegli **Next (Successivo)**.

1. In **Seleziona obiettivi**, scegli e configura l'obiettivo da richiamare quando viene rispettata questa regola.

1. Scegli **Next (Successivo)**.

1. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta i [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) nella *Amazon EventBridge User Guide*.

1. Scegli **Next (Successivo)**.

1. Rivedi i dettagli della regola e scegli **Crea regola**.

   Quando esegui un'azione personalizzata sui risultati di scoperte o approfondimenti nel tuo account, gli eventi vengono generati in EventBridge.

# Selezione di un'azione personalizzata per i risultati delle scoperte e degli approfondimenti
<a name="securityhub-cwe-send"></a>

Dopo aver creato le azioni personalizzate CSPM e le EventBridge regole Amazon di AWS Security Hub, puoi inviare risultati e approfondimenti EventBridge per la gestione e l'elaborazione automatiche.

Gli eventi vengono inviati EventBridge solo all'account in cui vengono visualizzati. Se si visualizza un risultato utilizzando un account amministratore, l'evento viene inviato EventBridge all'account amministratore.

 AWS Affinché le chiamate API siano efficaci, le implementazioni del codice di destinazione devono trasferire i ruoli negli account dei membri. Ciò significa anche che il ruolo a cui si passa deve essere assegnato a ciascun membro in cui è necessaria un'azione.

**Per inviare i risultati a EventBridge (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Visualizza un elenco di risultati:
   + Da **Findings**, puoi visualizzare i risultati di tutte le integrazioni e i controlli di prodotto abilitati.
   + Da **Security standards**, puoi accedere a un elenco di risultati generati da un controllo specifico. Per ulteriori informazioni, consulta [Revisione dei dettagli dei controlli in Security Hub CSPM](securityhub-standards-control-details.md).
   + Da **Integrazioni**, puoi accedere a un elenco di risultati generati da un'integrazione abilitata. Per ulteriori informazioni, consulta [Visualizzazione dei risultati di un'integrazione CSPM di Security Hub](securityhub-integration-view-findings.md).
   + Da **Insights**, puoi accedere a un elenco di risultati per ottenere un risultato approfondito. Per ulteriori informazioni, consulta [Revisione e utilizzo degli approfondimenti in Security Hub CSPM](securityhub-insights-view-take-action.md).

1. Seleziona i risultati a cui inviarli EventBridge. È possibile selezionare fino a 20 risultati alla volta.

1. In **Azioni**, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.

   Security Hub CSPM invia un evento **Security Hub Findings - Custom Action** separato per ogni risultato.

**Per inviare i risultati degli approfondimenti a EventBridge (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.

1. Nella pagina **Insights**, scegli l'analisi che include i risultati a cui inviare. EventBridge

1. Seleziona i risultati degli approfondimenti a cui inviarli EventBridge. Puoi selezionare fino a 20 risultati alla volta.

1. In **Azioni**, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.

# Utilizzo della dashboard in Security Hub CSPM
<a name="dashboard"></a>

Sulla console Security Hub CSPM, la dashboard di **riepilogo** mostra un riepilogo dei rischi, delle sequenze di attacco e della copertura di sicurezza. Questa dashboard consente di identificare i rischi e le sequenze di attacco in base alla gravità e alla copertura dell'account per diverse funzionalità di sicurezza. Ogni volta che apri la dashboard, questa si aggiorna automaticamente. Tieni presente, tuttavia, che i punteggi di sicurezza e gli stati di controllo si aggiornano ogni 24 ore. 

Puoi personalizzare la dashboard di **riepilogo** aggiungendo e rimuovendo diversi widget di sicurezza da essa. Puoi anche specificare criteri di filtro per recuperare e visualizzare particolari tipi di dati. Se personalizzi la dashboard, Security Hub salva le impostazioni di personalizzazione. Se altri utenti del tuo account personalizzano la dashboard, le loro modifiche vengono salvate indipendentemente dalle tue impostazioni di personalizzazione. 

Se hai configurato l'aggregazione tra regioni in Security Hub CSPM, la dashboard di **riepilogo** mostra i dati aggregati. Se il tuo account è l'account amministratore delegato di un'organizzazione, i dati includono i risultati relativi al tuo account e agli account dei membri. Se il tuo account è un account membro o un account autonomo, i dati includono i risultati solo per il tuo account.

**Topics**
+ [

## Widget disponibili per la dashboard di riepilogo
](#available-widgets)
+ [Filtraggio del pannello di controllo](filters-dashboard.md)
+ [Personalizzazione della dashboard](customize-dashboard.md)

## Widget disponibili per la dashboard di riepilogo
<a name="available-widgets"></a>

La dashboard di **riepilogo** include widget che riflettono il moderno panorama delle minacce alla sicurezza del cloud, guidati dalle operazioni e dalle esperienze di sicurezza dei AWS clienti. Alcuni widget vengono visualizzati per impostazione predefinita, mentre altri no. Puoi personalizzare la visualizzazione della dashboard aggiungendo o rimuovendo widget.

Per aggiungere un widget, scegli **Aggiungi widget** nella parte superiore della dashboard. Puoi quindi sfogliare l'elenco dei widget disponibili o inserire il titolo di un widget nella barra di ricerca. Quando trovi il widget da aggiungere, trascinalo nella posizione in cui desideri che appaia sulla dashboard. Per ulteriori informazioni, consulta [Personalizzazione della dashboard](customize-dashboard.md).

### I widget sono mostrati per impostazione predefinita
<a name="widgets-shown-default"></a>

Per impostazione predefinita, la dashboard **Riepilogo** include i seguenti widget.

**Le principali sequenze di minacce**  
Visualizza le sequenze di minacce con la massima gravità. I risultati della sequenza delle minacce, noti come *risultati delle sequenze di attacco* in Amazon GuardDuty, mettono in correlazione più eventi per identificare potenziali minacce al tuo AWS ambiente. Le sequenze di minacce possono includere comportamenti di attacco in corso o recenti (entro una finestra temporale di 24 ore) nel tuo ambiente, che a loro volta possono portare a ulteriori compromessi. È necessario che GuardDuty GuardDuty S3 Protection sia abilitato per ricevere i risultati della sequenza delle minacce in Security Hub CSPM.

**Rischi principali**  
Visualizza un riepilogo dei principali rischi nell'ambiente in uso. La parte superiore del widget mostra il conteggio dei rischi per ogni livello di gravità. È possibile scegliere un livello di gravità per accedere alla pagina **Rischi**, con i rischi filtrati in base al livello di gravità selezionato. I rischi che presentano il maggior numero di ricorrenze nell'ambiente vengono visualizzati per primi. Questo widget consente di stabilire le priorità dei rischi da mitigare.

**Copertura di sicurezza**  
Riassume l'estensione della copertura di sicurezza, in base ai risultati del controllo della copertura. I controlli di copertura verificano se una specifica funzionalità Servizio AWS e le relative funzionalità sono abilitate (ad esempio,[[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)). Questo widget ti aiuta ad assicurarti di disporre di `PASSED` risultati per il controllo della copertura. La console CSPM di Security Hub fornisce collegamenti da questo widget per aiutarti ad abilitare le funzionalità di sicurezza mancanti. Ti consigliamo di utilizzare la configurazione centrale per abilitare le funzionalità di sicurezza mancanti su più Account AWS e. Regioni AWS Per ulteriori informazioni, consulta [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

**Standard di sicurezza**  
Visualizza il punteggio di sicurezza riepilogativo più recente e il punteggio di sicurezza per ogni standard CSPM di Security Hub. I punteggi di sicurezza, che vanno dallo 0 al 100 percento, rappresentano la percentuale di controlli superati rispetto a tutti i controlli abilitati. Per ulteriori informazioni su questi punteggi, vedere. [Metodo di calcolo dei punteggi di sicurezza](standards-security-score.md#standard-security-score-calculation) Questo widget ti aiuta a comprendere il tuo livello di sicurezza generale.

**Risorse con il maggior numero di risultati**  
Fornisce una panoramica delle risorse, degli account e delle applicazioni con il maggior numero di risultati. L'elenco è ordinato in ordine decrescente in base al numero di risultati. Nel widget, ogni scheda mostra i primi sei elementi di quella categoria, raggruppati per gravità e tipo di risorsa. Se scegli un numero nella colonna **Risultati totali**, Security Hub CSPM apre una pagina che mostra i risultati per l'asset. Questo widget ti aiuta a identificare rapidamente quali delle tue risorse principali presentano potenziali minacce alla sicurezza.

**Risultati per regione**  
Mostra il numero totale di risultati, raggruppati per gravità, Regione AWS in ognuno dei quali è abilitato Security Hub CSPM. Questo widget consente di identificare i problemi di sicurezza che potenzialmente interessano regioni particolari. Se apri la dashboard nella tua regione di aggregazione, questo widget ti aiuta a monitorare potenziali problemi di sicurezza in ogni regione collegata. 

**I tipi di minacce più comuni**  
Fornisce un'analisi dettagliata dei 10 tipi di minacce più comuni nell' AWS ambiente in uso. Ciò include minacce come l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP dannosi.  
Per visualizzare questi dati, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) deve essere abilitato. In caso affermativo, scegli un tipo di minaccia in questo widget per aprire la GuardDuty console ed esaminare i risultati relativi a questa minaccia. Questo widget consente di valutare le potenziali minacce nel contesto di altri problemi di sicurezza.

**Vulnerabilità del software con exploit**  
Fornisce un riepilogo delle vulnerabilità software presenti nell' AWS ambiente in uso e che presentano exploit noti. Puoi anche esaminare un'analisi dettagliata delle vulnerabilità per cui sono disponibili e non sono disponibili correzioni.  
Per visualizzare questi dati, è necessario [abilitare Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html). In tal caso, scegli una statistica in questo widget per aprire la console Amazon Inspector e visualizzare ulteriori dettagli sulla vulnerabilità. Questo widget ti aiuta a valutare le vulnerabilità del software nel contesto di altri problemi di sicurezza.

**Nuove scoperte nel tempo**  
Mostra l'andamento del numero di nuovi risultati giornalieri negli ultimi 90 giorni. Puoi suddividere i dati per gravità o per fornitore per un contesto aggiuntivo. Questo widget ti aiuta a capire se il volume di ricerca è aumentato o diminuito in momenti specifici negli ultimi 90 giorni.

**Risorse con il maggior numero di risultati**  
Fornisce un riepilogo delle risorse che hanno generato il maggior numero di risultati, suddivise per i seguenti tipi di risorse: bucket Amazon Simple Storage Service (Amazon S3), istanze Amazon Elastic Compute Cloud (Amazon EC2) e funzioni. AWS Lambda   
Nel widget, ogni scheda si concentra su uno dei tipi di risorse precedenti, elencando le 10 istanze di risorse che hanno generato il maggior numero di risultati. Per esaminare i risultati di una risorsa specifica, scegli l'istanza della risorsa. Questo widget ti aiuta a valutare i risultati di sicurezza associati a AWS risorse comuni.

### Widget nascosti per impostazione predefinita
<a name="widgets-hidden-default"></a>

I seguenti widget sono disponibili anche per la dashboard **Riepilogo**, ma sono nascosti per impostazione predefinita.

**AMIs con il maggior numero di risultati**  
Fornisce un elenco delle 10 Amazon Machine Images (AMI) che hanno generato il maggior numero di risultati. Questi dati sono disponibili solo se Amazon EC2 è abilitato per il tuo account. Ti aiuta a identificare quali sono i potenziali AMIs rischi per la sicurezza.

**Principali IAM con il maggior numero di risultati**  
Fornisce un elenco dei 10 utenti AWS Identity and Access Management (IAM) che hanno generato il maggior numero di risultati. Questo widget consente di eseguire attività amministrative e di fatturazione. Mostra quali utenti contribuiscono maggiormente all'utilizzo del CSPM di Security Hub.

**Account con il maggior numero di risultati (per gravità)**  
Mostra un grafico dei 10 account che hanno generato il maggior numero di risultati, raggruppati per gravità. Questo widget ti aiuta a determinare su quali account concentrare le attività di analisi e correzione.

**Account con il maggior numero di risultati (per tipo di risorsa)**  
Mostra un grafico dei 10 account che hanno generato il maggior numero di risultati, raggruppati per tipo di risorsa. Questo widget consente di determinare a quali account e tipi di risorse dare priorità per l'analisi e la correzione.

**Approfondimenti**  
Elenca cinque [approfondimenti gestiti da Security Hub CSPM](securityhub-managed-insights.md) e il numero di risultati che hanno generato. Insights identifica un'area di sicurezza specifica che richiede attenzione.

**I risultati più recenti delle AWS integrazioni**  
[Mostra il numero di risultati ricevuti in Security Hub CSPM da integrated. Servizi AWS](securityhub-internal-providers.md) Mostra anche quando sono stati ricevuti più di recente i risultati di ciascun servizio integrato. Questo widget fornisce dati consolidati sui risultati provenienti da più Servizi AWS fonti. Per approfondire, scegli un servizio integrato. Security Hub CSPM apre quindi la console per quel servizio.

# Filtraggio della dashboard di riepilogo in Security Hub CSPM
<a name="filters-dashboard"></a>

Puoi curare la dashboard di **riepilogo** sulla console CSPM di Security Hub in modo che includa solo i dati di sicurezza più pertinenti per te. Ad esempio, se fai parte di un team applicativo, potresti creare una visualizzazione dedicata per un'applicazione critica nel tuo ambiente di produzione. Se fai parte di un team di sicurezza, potresti creare una visualizzazione dedicata che ti aiuti a concentrarti sui risultati ad alta gravità.

Per creare queste visualizzazioni curate, inserisci i criteri di filtro nella casella del filtro sopra la dashboard. Se applichi criteri di filtro, i criteri si applicano a tutti i dati e i widget della dashboard, ad eccezione dei dati nei widget **Insights** and **Security standards**. Per un elenco dei widget disponibili nella dashboard, consulta. [Widget disponibili per la dashboard di riepilogo](dashboard.md#available-widgets)

Puoi filtrare i dati utilizzando i seguenti campi:
+ Account name (Nome account)
+ ID account
+ ARN dell'applicazione
+ Application name (Nome applicazione)
+ Nome del prodotto (per un prodotto Servizio AWS o un prodotto di terze parti che invia i risultati a Security Hub CSPM)
+ Record state (Stato del record)
+ Region
+ Tag risorsa
+ Gravità
+ Stato del flusso di lavoro

Per impostazione predefinita, i dati del dashboard vengono filtrati in base ai seguenti criteri: `Workflow.Status` è `NOTIFIED` o`NEW`, ed è. `RecordState` `ACTIVE` Questi criteri vengono visualizzati sopra la dashboard, sotto la casella del filtro. Per rimuovere questi criteri, scegli **X** nel token di filtro relativo ai criteri che desideri rimuovere.

Se applichi criteri di filtro che desideri utilizzare nuovamente, puoi salvarli come *set di filtri*. Un set di filtri è un insieme di criteri di filtro che crei e salvi per riapplicare quando esaminate i dati nella dashboard di **riepilogo**. È possibile creare e salvare un set di filtri che utilizza uno qualsiasi dei campi disponibili ad eccezione dei seguenti campi: ARN dell'applicazione, nome dell'applicazione e tag della risorsa.

## Creazione e salvataggio di set di filtri
<a name="save-filter-set"></a>

Segui questi passaggi per creare e salvare un set di filtri.

**Per creare e salvare un set di filtri**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Riepilogo**.

1. Nella casella del filtro sopra la dashboard di **riepilogo**, inserisci i criteri di filtro per il set di filtri.

1. Nel menu **Cancella filtri**, scegli **Salva nuovo set di filtri**.

1. Nella finestra di dialogo **Salva set di filtri**, inserite un nome per il set di filtri.

1. (Facoltativo) Per utilizzare il filtro impostato di default ogni volta che aprite la pagina di **riepilogo**, selezionate l'opzione per impostarlo come visualizzazione predefinita.

1. Scegli **Save** (Salva).

Per passare da un set di filtri che hai creato a uno salvato, utilizza il menu **Scegli un set di filtri** sopra la dashboard di **riepilogo**. Quando si seleziona un set di filtri, Security Hub CSPM applica i criteri del set di filtri ai dati sulla dashboard.

## Aggiornamento o eliminazione dei set di filtri
<a name="update-delete-filter-set"></a>

Segui questi passaggi per aggiornare o eliminare un set di filtri esistente. Se si elimina un set di filtri attualmente impostato come visualizzazione predefinita del dashboard di **riepilogo**, la visualizzazione predefinita viene ripristinata sulla visualizzazione CSPM predefinita di Security Hub.

**Per aggiornare o eliminare un set di filtri**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Riepilogo**.

1. Nel menu **Scegli un set di filtri** sopra la pagina di **riepilogo**, scegli il set di filtri.

1. Nel menu **Cancella filtri**, effettuate una delle seguenti operazioni:
   + Per aggiornare il set di filtri, scegliete **Aggiorna il set di filtri corrente**. Quindi, inserisci le modifiche nella finestra di dialogo che appare.
   + Per eliminare il set di filtri, scegliete **Elimina il set di filtri corrente**. Quindi, scegli **Elimina** nella finestra di dialogo che appare.

# Personalizzazione della dashboard di riepilogo in Security Hub CSPM
<a name="customize-dashboard"></a>

È possibile personalizzare la dashboard di **riepilogo** sulla console CSPM di Security Hub in diversi modi. Ad esempio, puoi aggiungere e rimuovere widget dalla dashboard. Puoi anche riorganizzare e ridimensionare i widget sulla dashboard. Per un elenco dei widget disponibili e una descrizione di ciascuno di essi, consulta. [Widget disponibili per la dashboard di riepilogo](dashboard.md#available-widgets)

Se personalizzi la dashboard, Security Hub CSPM applica immediatamente le modifiche e salva le nuove impostazioni della dashboard. Le modifiche si applicano alla visualizzazione della dashboard in tutti Regioni AWS i browser.

**Per personalizzare la dashboard di **riepilogo****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Riepilogo**.

1. Effettua una delle seguenti operazioni:
   + Per aggiungere un widget, scegli **Aggiungi widget** nell'angolo in alto a destra della pagina. Nella barra di ricerca, inserisci il titolo del widget da aggiungere. Quindi, trascina il widget nella posizione desiderata.
   + Per rimuovere un widget, scegli i tre punti nell'angolo in alto a destra del widget.
   + Per spostare un widget, scegli la maniglia nell'angolo superiore sinistro del widget, quindi trascina il widget nella posizione desiderata.
   + Per modificare le dimensioni di un widget, scegli la maniglia di ridimensionamento nell'angolo inferiore destro del widget. Trascina il bordo del widget fino a raggiungere la dimensione desiderata.

Per ripristinare successivamente le impostazioni originali, scegli **Ripristina il layout predefinito** nella parte superiore della pagina.

# Limiti regionali per Security Hub CSPM
<a name="securityhub-regions"></a>

Alcune funzionalità CSPM di AWS Security Hub sono disponibili solo in alcuni casi. Regioni AWS Le seguenti sezioni specificano questi limiti regionali. Per un elenco completo di tutte le regioni in cui Security Hub CSPM è attualmente disponibile, consulta [Endpoint e quote AWS di Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) in. *Riferimenti generali di AWS*

## Restrizioni di aggregazione tra regioni
<a name="securityhub-regions-finding-aggregation-support"></a>

In AWS GovCloud (US) Regions, l'[aggregazione tra regioni](finding-aggregation.md) è disponibile solo per i risultati, la ricerca di aggiornamenti e approfondimenti. AWS GovCloud (US) Regions In particolare, puoi aggregare i risultati, trovare aggiornamenti e approfondimenti solo tra le regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali).

Nelle regioni della Cina, l'aggregazione interregionale è disponibile per i risultati, gli aggiornamenti delle ricerche e gli approfondimenti solo nelle regioni della Cina. In particolare, puoi aggregare risultati, trovare aggiornamenti e approfondimenti solo tra le regioni Cina (Pechino) e Cina (Ningxia).

Non puoi utilizzare una regione disattivata per impostazione predefinita come regione di aggregazione. Per un elenco delle aree che sono disabilitate per impostazione predefinita, consulta [Attivare o disattivare Regioni AWS nel proprio account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) nella *Guida Gestione dell'account AWS di riferimento*.

## Disponibilità di integrazioni per regione
<a name="securityhub-regions-integration-support"></a>

Alcune integrazioni non sono disponibili in tutte. Regioni AWS Nella console Security Hub CSPM, un'integrazione non viene visualizzata nella pagina **Integrazioni** se non è disponibile nella regione a cui hai attualmente effettuato l'accesso.

### Integrazioni supportate nelle regioni Cina (Pechino) e Cina (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

[Nelle regioni Cina (Pechino) e Cina (Ningxia), Security Hub CSPM supporta solo le seguenti integrazioni con: Servizi AWS](securityhub-internal-providers.md)
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Gestore di patch

[Nelle regioni Cina (Pechino) e Cina (Ningxia), Security Hub CSPM supporta solo le seguenti integrazioni di terze parti:](securityhub-partner-providers.md)
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Integrazioni supportate nelle regioni (Stati Uniti orientali AWS GovCloud ) e (Stati Uniti occidentali) AWS GovCloud
<a name="securityhub-regions-integration-support-govcloud"></a>

[Nelle regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), Security Hub CSPM supporta solo le seguenti integrazioni con: Servizi AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ Sistema di analisi degli accessi IAM
+ Amazon Inspector
+ AWS IoT Device Defender

[Nelle regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), Security Hub CSPM supporta solo le seguenti integrazioni di terze parti:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponibile solo negli Stati Uniti occidentali AWS GovCloud )
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Disponibilità degli standard per regione
<a name="securityhub-regions-standards-support"></a>

Lo [standard AWS Control Tower gestito dai servizi](service-managed-standard-aws-control-tower.md) è disponibile solo nei seguenti Regioni AWS supporti AWS Control Tower . Per un elenco delle regioni AWS Control Tower attualmente supportate, consulta [How Regioni AWS Work With AWS Control Tower nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) per l'*AWS Control Tower utente*.

Lo [standard AWS Resource Tagging](standards-tagging.md) non è disponibile nella regione Asia Pacifico (Taipei).

Altri standard di sicurezza sono disponibili in tutte le regioni in cui è attualmente disponibile Security Hub CSPM.

## Disponibilità dei controlli per regione
<a name="securityhub-regions-control-support"></a>

Alcuni controlli CSPM di Security Hub non sono disponibili in tutti. Regioni AWSPer un elenco dei controlli che non sono disponibili in ogni regione, vedi. [Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md)

Nella console CSPM di Security Hub, un controllo non viene visualizzato nell'elenco dei controlli se non è disponibile nella regione a cui hai attualmente effettuato l'accesso. L'eccezione è una regione di aggregazione. Se imposti una regione di aggregazione e accedi a quella regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più aree collegate.

# Limiti regionali sui controlli CSPM di Security Hub
<a name="regions-controls"></a>

Alcuni controlli CSPM di AWS Security Hub non sono disponibili in tutti. Regioni AWS Questa pagina specifica quali controlli non sono disponibili in regioni specifiche.

Nella console CSPM di Security Hub, un controllo non viene visualizzato nell'elenco dei controlli se non è disponibile nella regione a cui hai attualmente effettuato l'accesso. L'eccezione è una regione di aggregazione. Se imposti una regione di aggregazione e accedi a quella regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più aree collegate.

**Topics**
+ [

## Stati Uniti orientali (Virginia settentrionale)
](#securityhub-control-support-useast1)
+ [

## Stati Uniti orientali (Ohio)
](#securityhub-control-support-useast2)
+ [

## Stati Uniti occidentali (California settentrionale)
](#securityhub-control-support-uswest1)
+ [

## Stati Uniti occidentali (Oregon)
](#securityhub-control-support-uswest2)
+ [

## Africa (Città del Capo)
](#securityhub-control-support-afsouth1)
+ [

## Asia Pacifico (Hong Kong)
](#securityhub-control-support-apeast1)
+ [

## Asia Pacifico (Hyderabad)
](#securityhub-control-support-apsouth2)
+ [

## Asia Pacifico (Giacarta)
](#securityhub-control-support-apsoutheast3)
+ [

## Asia Pacifico (Malesia)
](#securityhub-control-support-apsoutheast5)
+ [

## Asia Pacifico (Melbourne)
](#securityhub-control-support-apsoutheast4)
+ [

## Asia Pacifico (Mumbai)
](#securityhub-control-support-apsouth1)
+ [

## Asia Pacifico (Nuova Zelanda)
](#securityhub-control-support-apsoutheast6)
+ [

## Asia Pacifico (Osaka)
](#securityhub-control-support-apnortheast3)
+ [

## Asia Pacifico (Seul)
](#securityhub-control-support-apnortheast2)
+ [

## Asia Pacifico (Singapore)
](#securityhub-control-support-apsoutheast1)
+ [

## Asia Pacifico (Sydney)
](#securityhub-control-support-apsoutheast2)
+ [

## Asia Pacifico (Taipei)
](#securityhub-control-support-apeast2)
+ [

## Asia Pacifico (Thailandia)
](#securityhub-control-support-apsoutheast7)
+ [

## Asia Pacifico (Tokyo)
](#securityhub-control-support-apnortheast1)
+ [

## Canada (Centrale)
](#securityhub-control-support-cacentral1)
+ [

## Canada occidentale (Calgary)
](#securityhub-control-support-cawest1)
+ [

## Cina (Pechino)
](#securityhub-control-support-cnnorth1)
+ [

## Cina (Ningxia)
](#securityhub-control-support-cnnorthwest1)
+ [

## Europa (Francoforte)
](#securityhub-control-support-eucentral1)
+ [

## Europa (Irlanda)
](#securityhub-control-support-euwest1)
+ [

## Europa (Londra)
](#securityhub-control-support-euwest2)
+ [

## Europa (Milano)
](#securityhub-control-support-eusouth1)
+ [

## Europa (Parigi)
](#securityhub-control-support-euwest3)
+ [

## Europa (Spagna)
](#securityhub-control-support-eusouth2)
+ [

## Europa (Stoccolma)
](#securityhub-control-support-eunorth1)
+ [

## Europa (Zurigo)
](#securityhub-control-support-eucentral2)
+ [

## Israele (Tel Aviv)
](#securityhub-control-support-ilcentral1)
+ [

## Messico (centrale)
](#securityhub-control-support-mxcentral1)
+ [

## Medio Oriente (Bahrein)
](#securityhub-control-support-mesouth1)
+ [

## Medio Oriente (Emirati Arabi Uniti)
](#securityhub-control-support-mecentral1)
+ [

## Sud America (San Paolo)
](#securityhub-control-support-saeast1)
+ [

## AWS GovCloud (Stati Uniti orientali)
](#securityhub-control-support-usgoveast1)
+ [

## AWS GovCloud (Stati Uniti occidentali)
](#securityhub-control-support-usgovwest1)

## Stati Uniti orientali (Virginia settentrionale)
<a name="securityhub-control-support-useast1"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Virginia settentrionale).
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 

## Stati Uniti orientali (Ohio)
<a name="securityhub-control-support-useast2"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Ohio).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Stati Uniti occidentali (California settentrionale)
<a name="securityhub-control-support-uswest1"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (California settentrionale).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Stati Uniti occidentali (Oregon)
<a name="securityhub-control-support-uswest2"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (Oregon).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Africa (Città del Capo)
<a name="securityhub-control-support-afsouth1"></a>

I seguenti controlli non sono supportati nella regione Africa (Città del Capo).
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Hong Kong).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Hyderabad).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Giacarta)
<a name="securityhub-control-support-apsoutheast3"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Giacarta).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Malesia)
<a name="securityhub-control-support-apsoutheast5"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Malesia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Melbourne).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Mumbai).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Nuova Zelanda)
<a name="securityhub-control-support-apsoutheast6"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Nuova Zelanda).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Osaka).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Seul)
<a name="securityhub-control-support-apnortheast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Seoul).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Singapore)
<a name="securityhub-control-support-apsoutheast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Singapore).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Sydney).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Taipei)
<a name="securityhub-control-support-apeast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Taipei).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[ACM.3] I certificati ACM devono essere etichettati](acm-controls.md#acm-3) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [I AWS Backup vault [Backup.3] devono essere etichettati](backup-controls.md#backup-3) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Backup.5] i piani di AWS Backup backup devono essere etichettati](backup-controls.md#backup-5) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.2] CloudFormation gli stack devono essere etichettati](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] i percorsi devono essere etichettati CloudTrail](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-33) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.35] Le interfacce di rete EC2 devono essere etichettate](ec2-controls.md#ec2-35) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati](ec2-controls.md#ec2-37) 
+  [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38) 
+  [[EC2.39] I gateway Internet EC2 devono essere etichettati](ec2-controls.md#ec2-39) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.41] La rete EC2 deve essere etichettata ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] Le tabelle di routing EC2 devono essere etichettate](ec2-controls.md#ec2-42) 
+  [[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati](ec2-controls.md#ec2-43) 
+  [[EC2.44] Le sottoreti EC2 devono essere etichettate](ec2-controls.md#ec2-44) 
+  [[EC2.45] I volumi EC2 devono essere etichettati](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs dovrebbe essere taggato](ec2-controls.md#ec2-46) 
+  [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47) 
+  [[EC2.48] I log di flusso di Amazon VPC devono essere etichettati](ec2-controls.md#ec2-48) 
+  [[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate](ec2-controls.md#ec2-49) 
+  [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 
+  [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] I servizi ECS devono essere etichettati](ecs-controls.md#ecs-13) 
+  [[ECS.14] I cluster ECS devono essere etichettati](ecs-controls.md#ecs-14) 
+  [[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate](ecs-controls.md#ecs-15) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.5] I punti di accesso EFS devono essere etichettati](efs-controls.md#efs-5) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.6] I cluster EKS devono essere etichettati](eks-controls.md#eks-6) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 
+  [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 
+  [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 
+  [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 
+  [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 
+  [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Gli stream Kinesis devono essere etichettati](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 
+  [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 
+  [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 
+  [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28) 
+  [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29) 
+  [[RDS.30] Le istanze DB RDS devono essere etichettate](rds-controls.md#rds-30) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.32] Gli snapshot RDS DB devono essere etichettati](rds-controls.md#rds-32) 
+  [[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati](rds-controls.md#rds-33) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-14) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Gli argomenti SNS devono essere etichettati](sns-controls.md#sns-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Thailandia)
<a name="securityhub-control-support-apsoutheast7"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Tailandia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Tokyo)
<a name="securityhub-control-support-apnortheast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Tokyo).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Canada (Centrale)
<a name="securityhub-control-support-cacentral1"></a>

I seguenti controlli non sono supportati nella regione Canada (Centrale).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Canada occidentale (Calgary)
<a name="securityhub-control-support-cawest1"></a>

I seguenti controlli non sono supportati nella regione Canada occidentale (Calgary).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Cina (Pechino)
<a name="securityhub-control-support-cnnorth1"></a>

I seguenti controlli non sono supportati nella regione Cina (Pechino).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 
+  [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Cina (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

I seguenti controlli non sono supportati nella regione Cina (Ningxia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Francoforte)
<a name="securityhub-control-support-eucentral1"></a>

I seguenti controlli non sono supportati nella regione Europa (Francoforte).
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Irlanda)
<a name="securityhub-control-support-euwest1"></a>

I seguenti controlli non sono supportati nella regione Europa (Irlanda).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Londra)
<a name="securityhub-control-support-euwest2"></a>

I seguenti controlli non sono supportati nella regione Europa (Londra).
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Milano)
<a name="securityhub-control-support-eusouth1"></a>

I seguenti controlli non sono supportati nella regione Europa (Milano).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Parigi)
<a name="securityhub-control-support-euwest3"></a>

I seguenti controlli non sono supportati nella regione Europa (Parigi).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Spagna)
<a name="securityhub-control-support-eusouth2"></a>

I seguenti controlli non sono supportati nella regione Europa (Spagna).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Stoccolma)
<a name="securityhub-control-support-eunorth1"></a>

I seguenti controlli non sono supportati nella regione Europa (Stoccolma).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Zurigo)
<a name="securityhub-control-support-eucentral2"></a>

I seguenti controlli non sono supportati nella regione Europa (Zurigo).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Israele (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

I seguenti controlli non sono supportati nella regione di Israele (Tel Aviv).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Messico (centrale)
<a name="securityhub-control-support-mxcentral1"></a>

I seguenti controlli non sono supportati nella regione Messico (Centrale).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Medio Oriente (Bahrein)
<a name="securityhub-control-support-mesouth1"></a>

I seguenti controlli non sono supportati nella regione Medio Oriente (Bahrein).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Medio Oriente (Emirati Arabi Uniti)
<a name="securityhub-control-support-mecentral1"></a>

I seguenti controlli non sono supportati nella regione del Medio Oriente (Emirati Arabi Uniti).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Sud America (San Paolo)
<a name="securityhub-control-support-saeast1"></a>

I seguenti controlli non sono supportati nella regione Sud America (San Paolo).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## AWS GovCloud (Stati Uniti orientali)
<a name="securityhub-control-support-usgoveast1"></a>

I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti orientali).
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47) 
+  [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (Stati Uniti occidentali)
<a name="securityhub-control-support-usgovwest1"></a>

I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti occidentali).
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 

# Creazione di risorse CSPM Security Hub con CloudFormation
<a name="creating-resources-with-cloudformation"></a>

AWS Security Hub CSPM si integra con AWS CloudFormation, un servizio che consente di modellare e configurare le AWS risorse in modo da dedicare meno tempo alla creazione e alla gestione delle risorse e dell'infrastruttura. Crei un modello che descrive tutte le AWS risorse che desideri (come le regole di automazione) e fornisce e configura CloudFormation tali risorse per te.

Quando lo utilizzi CloudFormation, puoi riutilizzare il modello per configurare le risorse CSPM di Security Hub in modo coerente e ripetuto. Descrivi le tue risorse una sola volta, quindi fornisci le stesse risorse più e più volte in più Account AWS regioni. 

## CSPM e modelli di Security Hub CloudFormation
<a name="working-with-templates"></a>

Per fornire e configurare le risorse per Security Hub CSPM e i servizi correlati, è necessario comprendere come funzionano i [CloudFormation modelli](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). I modelli sono file di testo in formato JSON o YAML. Questi modelli descrivono le risorse che desideri inserire negli stack. CloudFormation 

Se non conosci JSON o YAML, puoi usare CloudFormation Designer per iniziare a usare i modelli. CloudFormation [Per ulteriori informazioni, consulta Cos'è Designer? CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) nella *Guida AWS CloudFormation per l'utente*.

È possibile creare CloudFormation modelli per i seguenti tipi di risorse CSPM di Security Hub:
+ Abilitazione del Security Hub CSPM
+ Designazione dell'amministratore CSPM delegato del Security Hub per un'organizzazione
+ Specificate il modo in cui la vostra organizzazione è configurata in Security Hub CSPM
+ Abilitazione di uno standard di sicurezza
+ Abilitazione dell'aggregazione tra regioni
+ Creazione di una politica di configurazione centrale e associazione agli account, all'unità organizzativa (OUs) o alla radice
+ Creazione di una visione personalizzata
+ Creazione di una regola di automazione
+ Personalizzazione dei parametri di controllo
+ Abbonamento a un'integrazione di prodotti di terze parti

*Per ulteriori informazioni, inclusi esempi di modelli JSON e YAML per le risorse, consultate il [riferimento al tipo di risorsa AWS Security Hub CSPM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html) nella Guida per l'utente.AWS CloudFormation *

## Scopri di più su CloudFormation
<a name="learn-more-cloudformation"></a>

Per ulteriori informazioni CloudFormation, consulta le seguenti risorse:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guida per l'utente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation Documentazione di riferimento delle API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guida per l'utente dell'interfaccia a riga di comando](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Iscrizione agli annunci CSPM di Security Hub con Amazon SNS
<a name="securityhub-announcements"></a>

Questa sezione fornisce informazioni sulla sottoscrizione agli annunci CSPM AWS di Security Hub con Amazon Simple Notification Service (Amazon SNS) per ricevere notifiche su Security Hub CSPM. 

Dopo l'iscrizione, riceverai notifiche sui seguenti eventi (nota il corrispondente per ogni evento): `AnnouncementType`
+ `GENERAL`— Notifiche generali sul servizio CSPM Security Hub.
+ `UPCOMING_STANDARDS_CONTROLS`— I controlli o gli standard CSPM specifici di Security Hub verranno rilasciati a breve. Questo tipo di annuncio consente di preparare i flussi di lavoro di risposta e correzione prima del rilascio.
+ `NEW_REGIONS`— Il supporto per Security Hub CSPM è disponibile in una nuova versione. Regione AWS
+ `NEW_STANDARDS_CONTROLS`— Sono stati aggiunti nuovi controlli o standard CSPM di Security Hub.
+ `UPDATED_STANDARDS_CONTROLS`— I controlli o gli standard CSPM esistenti di Security Hub sono stati aggiornati.
+ `RETIRED_STANDARDS_CONTROLS`— I controlli o gli standard CSPM esistenti di Security Hub sono stati ritirati.
+ `UPDATED_ASFF`— La sintassi, i campi o i valori del AWS Security Finding Format (ASFF) sono stati aggiornati.
+ `NEW_INTEGRATION`— Sono disponibili nuove integrazioni con altri AWS servizi o prodotti di terze parti.
+ `NEW_FEATURE`— Sono disponibili nuove funzionalità CSPM di Security Hub.
+ `UPDATED_FEATURE`— Le funzionalità CSPM esistenti di Security Hub sono state aggiornate.

Le notifiche sono disponibili in tutti i formati supportati da Amazon SNS. Puoi iscriverti agli annunci CSPM di Security Hub in tutte le versioni in cui [Security Regioni AWS Hub CSPM](https://docs.aws.amazon.com/general/latest/gr/sechub.html) è disponibile.

Un utente deve disporre `Subscribe` delle autorizzazioni per iscriversi a un argomento di Amazon SNS. Puoi raggiungere questo obiettivo con le policy di Amazon SNS, le policy IAM o entrambe. Per ulteriori informazioni, consulta le [politiche di IAM e Amazon SNS insieme nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) *Notification Service Developer Guide*.

**Nota**  
Security Hub CSPM invia annunci Amazon SNS sugli aggiornamenti del servizio CSPM di Security Hub a tutti gli abbonati. Account AWS Per ricevere notifiche sui risultati del CSPM di Security Hub, vedere. [Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM](securityhub-findings-viewing.md)

Puoi abbonarti a una coda Amazon Simple Queue Service (Amazon SQS) per un argomento Amazon SNS, ma devi utilizzare un argomento Amazon SNS Amazon Resource Name (ARN) che si trova nella stessa regione. Per ulteriori informazioni, consulta l'argomento [Sottoscrizione di una coda a un Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) *Queue Service Developer* Guide.

Puoi anche utilizzare una AWS Lambda funzione per richiamare eventi quando ricevi notifiche. Per ulteriori informazioni, incluso un codice di funzione di esempio, consulta [Tutorial: Using AWS Lambda with Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) nella *AWS Lambda Developer Guide*.

L'argomento Amazon SNS ARNs per ogni regione è il seguente.


| Regione AWS | ARN di un argomento Amazon SNS | 
| --- | --- | 
| Stati Uniti orientali (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| Stati Uniti orientali (Virginia settentrionale) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| Stati Uniti occidentali (California settentrionale) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| Stati Uniti occidentali (Oregon) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| Africa (Città del Capo) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| Asia Pacifico (Hong Kong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| Asia Pacific (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| Asia Pacifico (Giacarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| Asia Pacifico (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| Asia Pacifico (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| Asia Pacifico (Seoul) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| Asia Pacifico (Singapore) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| Asia Pacifico (Sydney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| Asia Pacifico (Tokyo) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| Canada (Centrale) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| Cina (Pechino) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| Cina (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| Europa (Francoforte) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| Europa (Irlanda) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| Europa (Londra) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| Europa (Milano) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| Europa (Parigi) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| Europa (Spagna) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| Europa (Stoccolma) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| Europa (Zurigo) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| Israele (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| Medio Oriente (Bahrein) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| Medio Oriente (Emirati Arabi Uniti) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| Sud America (San Paolo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (Stati Uniti orientali) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (Stati Uniti occidentali) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

I messaggi sono in genere gli stessi in tutte le regioni all'interno di una [partizione](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), quindi puoi iscriverti a una regione in ogni partizione per ricevere annunci che riguardano tutte le aree di quella partizione. Gli annunci associati agli account dei membri non vengono replicati nell'account amministratore. Di conseguenza, ogni account, incluso l'account amministratore, avrà solo una copia di ogni annuncio. Puoi decidere quale account utilizzare per iscriverti agli annunci CSPM di Security Hub.

[Per informazioni sul costo dell'abbonamento agli annunci CSPM di Security Hub, consulta i prezzi di Amazon SNS.](https://aws.amazon.com/sns/pricing/)

**Iscrizione agli annunci CSPM di Security Hub (console)**

1. [Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. Nell'elenco delle regioni, scegli la regione in cui desideri sottoscrivere gli annunci CSPM di Security Hub. Questo esempio utilizza la regione `us-west-2`.

1. Nel riquadro di navigazione scegliere **Subscriptions (Sottoscrizioni)**, quindi selezionare **Create subscription (Crea sottoscrizione)**.

1. Inserisci l'argomento ARN nella casella Argomento **ARN.** Ad esempio, `arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`.

1. Per **Protocollo**, scegli come desideri ricevere gli annunci CSPM di Security Hub. Se scegli **Email**, for **Endpoint**, inserisci l'indirizzo email che desideri utilizzare per ricevere annunci.

1. Scegli **Create Subscription** (Crea sottoscrizione).

1. Confermare la sottoscrizione. Ad esempio, se hai scelto il protocollo e-mail, Amazon SNS invierà un messaggio di conferma dell'iscrizione all'indirizzo e-mail che hai fornito.

**Iscrizione agli annunci CSPM di Security Hub ()AWS CLI**

1. Esegui il comando seguente:

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. Confermare la sottoscrizione. Ad esempio, se hai scelto il protocollo e-mail, Amazon SNS invierà un messaggio di conferma dell'iscrizione all'indirizzo e-mail che hai fornito.

## Formato dei messaggi Amazon SNS
<a name="securityhub-announcements-example"></a>

Gli esempi seguenti mostrano gli annunci CSPM di Security Hub di Amazon SNS sull'introduzione di nuovi controlli di sicurezza. Il contenuto dei messaggi varia in base al tipo di annuncio, ma il formato è lo stesso per tutti i tipi di annuncio. Facoltativamente, può essere incluso un `Link` campo che fornisce dettagli sull'annuncio.

**Esempio: annuncio CSPM di Security Hub per nuovi controlli (protocollo e-mail)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**Esempio: annuncio CSPM di Security Hub per nuovi controlli (protocollo Email-JSON)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Disattivazione del Security Hub CSPM
<a name="securityhub-disable"></a>

È possibile disabilitare AWS Security Hub CSPM utilizzando la console Security Hub CSPM o l'API Security Hub. Se disabiliti Security Hub CSPM, puoi riattivarlo in un secondo momento.

Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato di Security Hub CSPM può creare policy di configurazione che disabilitano Security Hub CSPM per account e unità organizzative specifici () e OUs mantengono abilitato Security Hub CSPM per altri. Le politiche di configurazione influiscono sulla regione di origine e su tutte le regioni collegate. Per ulteriori informazioni, consulta [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Se si disabilita Security Hub CSPM per un account, si verifica quanto segue:
+ Tutti gli standard e i controlli CSPM di Security Hub sono disabilitati per l'account.
+ Security Hub CSPM interrompe la generazione, l'aggiornamento e l'acquisizione dei risultati per l'account.
+ Dopo 30 giorni, Security Hub CSPM elimina definitivamente tutti i risultati archiviati esistenti per l'account. I risultati non possono essere recuperati utilizzando Security Hub CSPM.
+ Dopo 90 giorni, Security Hub CSPM elimina definitivamente tutti i risultati attivi esistenti per l'account. I risultati non possono essere recuperati utilizzando Security Hub CSPM.
+ Dopo 90 giorni, Security Hub CSPM elimina definitivamente tutti gli approfondimenti esistenti e le impostazioni di configurazione CSPM di Security Hub per l'account. I dati e le impostazioni non possono essere ripristinati.

Per conservare i risultati esistenti, puoi esportare i risultati in un bucket S3 prima di disabilitare Security Hub CSPM. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

Se riattivi Security Hub CSPM entro 90 giorni dalla disattivazione per un account, riottieni l'accesso ai risultati attivi esistenti, nonché agli approfondimenti e alle impostazioni di configurazione CSPM di Security Hub per l'account. Se riattivi Security Hub CSPM entro 30 giorni, riottieni anche l'accesso ai risultati archiviati esistenti per l'account. Tuttavia, i risultati esistenti potrebbero essere imprecisi perché rifletteranno lo stato dell' AWS ambiente quando hai disabilitato Security Hub CSPM. Inoltre, quando riattivi singoli standard e controlli, Security Hub CSPM potrebbe inizialmente generare risultati duplicati per AWS risorse specifiche, a seconda degli standard e dei controlli abilitati. Per questi motivi, ti consigliamo di effettuare una delle seguenti operazioni:
+ Modifica lo stato del flusso di lavoro di tutti i risultati esistenti impostandolo su `RESOLVED` prima di disabilitare Security Hub CSPM. Per ulteriori informazioni, consulta [Impostazione dello stato dei risultati del flusso di lavoro](findings-workflow-status.md).
+ Disabilita tutti gli standard almeno sei giorni prima di disabilitare Security Hub CSPM. Security Hub CSPM archivia quindi tutti i risultati esistenti con il massimo impegno, in genere entro tre-cinque giorni. Per ulteriori informazioni, consulta [Disabilitazione di uno standard](disable-standards.md).

Non puoi disabilitare Security Hub CSPM nei seguenti casi:
+ Il tuo account è l'account amministratore CSPM di Security Hub delegato per un'organizzazione. Se si utilizza la configurazione centrale, non è possibile associare una politica di configurazione che disabiliti Security Hub CSPM per l'account amministratore delegato. L'associazione può avere successo per altri account, ma Security Hub CSPM non applica la politica all'account amministratore delegato.
+ Il tuo account è un account amministratore CSPM di Security Hub su invito e disponi di account membri. Prima di poter disabilitare Security Hub CSPM, devi dissociare tutti i tuoi account membro. Per scoprire come, consulta [Dissociazione degli account dei membri in Security Hub CSPM](securityhub-disassociate-members.md).

Prima che il proprietario di un account membro possa disabilitare Security Hub CSPM, l'account deve dissociarsi dal relativo account amministratore. Per un account dell'organizzazione, solo l'account amministratore può dissociare un account membro. Per ulteriori informazioni, consulta [Dissociazione degli account dei membri di Security Hub CSPM dall'organizzazione](accounts-orgs-disassociate.md). Per un account invitato manualmente, l'account amministratore o l'account membro possono dissociare l'account. Per ulteriori informazioni, consulta [Dissociazione degli account dei membri in Security Hub CSPM](securityhub-disassociate-members.md) o [Dissociazione da un account amministratore CSPM di Security Hub](securityhub-disassociate-from-admin.md). La disassociazione non è richiesta se si utilizza la configurazione centrale perché l'amministratore CSPM di Security Hub può creare una politica che disabilita Security Hub CSPM per account membri specifici.

Quando disabiliti Security Hub CSPM per un account, viene disabilitato solo nella versione corrente. Regione AWS Tuttavia, se utilizzi la configurazione centrale per disabilitare Security Hub CSPM per account specifici, viene disabilitata nella regione di origine e in tutte le regioni collegate.

Per disabilitare Security Hub CSPM, scegli il tuo metodo preferito e segui i passaggi.

------
#### [ Security Hub CSPM console ]

Segui questi passaggi per disabilitare Security Hub CSPM utilizzando la console.

**Per disabilitare Security Hub CSPM**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, in **Settings (Impostazioni)**, scegliere **General (Generali)**.

1. Nella sezione **Disabilita Security Hub CSPM**, scegli **Disabilita Security Hub** CSPM.

1. Quando viene richiesta la conferma, scegli **Disabilita Security Hub CSPM**.

------
#### [ Security Hub API ]

Per disabilitare Security Hub CSPM a livello di codice, utilizzare il [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)funzionamento dell'API Security Hub AWS . Oppure, se utilizzi il, esegui il comando AWS CLI. [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html) Ad esempio, il comando seguente disabilita Security Hub CSPM nella versione corrente: Regione AWS

```
$ aws securityhub disable-security-hub
```

------

# Sicurezza in AWS Security Hub CSPM
<a name="security"></a>

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a AWS Security Hub CSPM, consulta [Servizi coperti dal programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.

Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Security Hub CSPM. I seguenti argomenti mostrano come configurare Security Hub CSPM per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le risorse CSPM del Security Hub.

**Topics**
+ [

# Protezione dei dati in AWS Security Hub CSPM
](data-protection.md)
+ [

# AWS Identity and Access Management per Security Hub CSPM
](security-iam.md)
+ [

# Convalida della conformità per AWS Security Hub CSPM
](securityhub-compliance.md)
+ [

# Resilienza nel AWS Security Hub
](disaster-recovery-resiliency.md)
+ [

# Sicurezza dell'infrastruttura in AWS Security Hub CSPM
](infrastructure-security.md)
+ [

# AWS Security Hub CSPM e endpoint VPC di interfaccia ()AWS PrivateLink
](security-vpc-endpoints.md)

# Protezione dei dati in AWS Security Hub CSPM
<a name="data-protection"></a>

Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in. AWS Security Hub CSPM Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Security Hub CSPM o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Security Hub CSPM è un'offerta di servizi multi-tenant. Per garantire la protezione dei dati, Security Hub CSPM crittografa i dati inattivi e i dati in transito tra i servizi componenti.

# AWS Identity and Access Management per Security Hub CSPM
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse del Security Hub. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [

## Destinatari
](#security_iam_audience)
+ [

## Autenticazione con identità
](#security_iam_authentication)
+ [

## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
+ [

# Come funziona Security Hub con IAM
](security_iam_service-with-iam.md)
+ [

# Esempi di policy basate sull'identità per AWS Security Hub CSPM
](security_iam_id-based-policy-examples.md)
+ [

# Ruoli collegati ai servizi per AWS Security Hub CSPM
](using-service-linked-roles.md)
+ [

# AWS politiche gestite per Security Hub
](security-iam-awsmanpol.md)
+ [

# Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso
](security_iam_troubleshoot.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Security Hub con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come funziona Security Hub con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Security Hub CSPM, scopri quali funzionalità IAM sono disponibili per l'uso con Security Hub CSPM.


**Funzionalità IAM che puoi utilizzare con AWS Security Hub CSPM**  

| Funzionalità IAM | Supporto CSPM Security Hub | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   No   | 
|  [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [Elenchi di controllo degli accessi () ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [Controllo degli accessi basato sugli attributi (ABAC): tag nelle politiche](#security_iam_service-with-iam-tags)  |   Sì  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked)  |   Sì  | 

*Per una panoramica di alto livello su come Security Hub CSPM e altri Servizi AWS funzionano con la maggior parte delle funzionalità IAM, consulta Servizi AWS That [work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*

## Politiche basate sull'identità per Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

Security Hub CSPM supporta politiche basate sull'identità. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Politiche basate sulle risorse per Security Hub CSPM
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

Security Hub CSPM non supporta politiche basate sulle risorse. Non è possibile collegare una policy IAM direttamente a una risorsa CSPM Security Hub.

## Azioni politiche per Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.

Le azioni politiche in Security Hub CSPM utilizzano il seguente prefisso prima dell'azione:

```
securityhub:
```

Ad esempio, per concedere a un utente l'autorizzazione ad abilitare Security Hub CSPM, che è un'azione che corrisponde al `EnableSecurityHub` funzionamento dell'API CSPM di Security Hub, includi l'`securityhub:EnableSecurityHub`azione nella loro politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Security Hub CSPM definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.

```
"Action": "securityhub:EnableSecurityHub"
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Esempio:

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

È inoltre possibile specificare più azioni utilizzando caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Get`, includi la seguente azione:

```
"Action": "securityhub:Get*"
```

Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'attività specifica.

L'utente deve avere accesso all'`DescribeStandardsControl`operazione per poter accedere a `BatchGetSecurityControls``BatchGetStandardsControlAssociations`, e`ListStandardsControlAssociations`.

L'utente deve avere accesso all'`UpdateStandardsControls`operazione per poter accedere a`BatchUpdateStandardsControlAssociations`, e`UpdateSecurityControl`.

Per un elenco delle azioni CSPM di Security Hub, vedere [Azioni definite da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel *Service Authorization* Reference. Per esempi di politiche che specificano le azioni CSPM di Security Hub, vedere. [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Risorse politiche per Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse di policy:** No 

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Security Hub CSPM definisce i seguenti tipi di risorse:
+ Hub
+ Prodotto
+ *Finding aggregator, noto anche come aggregatore interregionale*
+ Regola di automazione
+ Politica di configurazione

È possibile specificare questi tipi di risorse nelle politiche utilizzando ARNs.

*Per un elenco dei tipi di risorse CSPM di Security Hub e la sintassi ARN per ciascuno di essi, vedere [Tipi di risorse definiti da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) nel Service Authorization Reference.* *Per sapere quali azioni è possibile specificare per ogni tipo di risorsa, vedere [Azioni definite da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel Service Authorization Reference.* Per esempi di politiche che specificano le risorse, vedere[Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Chiavi relative alle condizioni delle policy per Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Per un elenco delle chiavi di condizione CSPM di Security Hub, vedere [Chiavi di condizione AWS Security Hub CSPM nel Riferimento di](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) *autorizzazione del servizio*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) da. AWS Security Hub CSPM Per esempi di politiche che utilizzano chiavi condizionali, consulta[Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Elenchi di controllo degli accessi (ACLs) in Security Hub CSPM
<a name="security_iam_service-with-iam-acls"></a>

**Supporti ACLs**: no 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Security Hub CSPM non supporta ACLs, il che significa che non è possibile collegare un ACL a una risorsa CSPM di Security Hub.

## Controllo degli accessi basato sugli attributi (ABAC) con Security Hub CSPM
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** sì

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

È possibile allegare tag alle risorse CSPM di Security Hub. È inoltre possibile controllare l'accesso alle risorse fornendo informazioni sui tag nell'`Condition`elemento di una policy.

Per informazioni sull'etichettatura delle risorse CSPM di Security Hub, vedere. [Taggare le risorse del Security Hub](tagging-resources.md) Per un esempio di politica basata sull'identità che controlla l'accesso a una risorsa in base ai tag, vedi. [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Utilizzo di credenziali temporanee con Security Hub CSPM
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 

Security Hub CSPM supporta l'uso di credenziali temporanee.

## Sessioni di accesso diretto per Security Hub CSPM
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Ad esempio, Security Hub CSPM invia le richieste FAS a valle Servizi AWS quando si integra Security Hub CSPM con AWS Organizations e quando si designa l'account amministratore CSPM di Security Hub delegato per un'organizzazione in Organizations.

Per altre attività, Security Hub CSPM utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)

## Ruoli di servizio per Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service"></a>

Security Hub CSPM non assume né utilizza ruoli di servizio. Per eseguire azioni per conto dell'utente, Security Hub CSPM utilizza un ruolo collegato al servizio. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio può creare problemi operativi con l'uso di Security Hub CSPM. Modifica i ruoli di servizio solo quando Security Hub CSPM fornisce indicazioni in tal senso.

## Ruoli collegati ai servizi per Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** sì

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Security Hub CSPM utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)

# Esempi di policy basate sull'identità per AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse CSPM di Security Hub. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.

**Topics**
+ [

## Best practice delle policy
](#security_iam_service-with-iam-policy-best-practices)
+ [

## Utilizzo della console Security Hub CSPM
](#security_iam_id-based-policy-examples-console)
+ [

## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [

## Esempio: consentire agli utenti di creare e gestire una politica di configurazione
](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [

## Esempio: consenti agli utenti di visualizzare i risultati
](#security_iam_id-based-policy-examples-view-findings)
+ [

## Esempio: consentire agli utenti di creare e gestire regole di automazione
](#security_iam_id-based-policy-examples-create-automation-rule)

## Best practice delle policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del Security Hub nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

## Utilizzo della console Security Hub CSPM
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla AWS Security Hub CSPM console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse CSPM di Security Hub presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Per garantire che tali utenti e ruoli possano utilizzare la console CSPM di Security Hub, allega anche la seguente politica AWS gestita all'entità. Per ulteriori informazioni, consulta la sezione [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Esempio: consentire agli utenti di creare e gestire una politica di configurazione
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di creare, visualizzare, aggiornare ed eliminare le politiche di configurazione. Questa policy di esempio consente inoltre all'utente di avviare, interrompere e visualizzare le associazioni di policy. Affinché questa policy IAM funzioni, l'utente deve essere l'amministratore CSPM di Security Hub delegato per un'organizzazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Esempio: consenti agli utenti di visualizzare i risultati
<a name="security_iam_id-based-policy-examples-view-findings"></a>

Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di visualizzare i risultati del Security Hub CSPM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Esempio: consentire agli utenti di creare e gestire regole di automazione
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di creare, visualizzare, aggiornare ed eliminare le regole di automazione CSPM di Security Hub. Affinché questa policy IAM funzioni, l'utente deve essere un amministratore CSPM di Security Hub. Per limitare le autorizzazioni, ad esempio per consentire a un utente di visualizzare solo le regole di automazione, puoi rimuovere le autorizzazioni di creazione, aggiornamento ed eliminazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Ruoli collegati ai servizi per AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM [utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM) denominato.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) `AWSServiceRoleForSecurityHub` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente al Security Hub CSPM. È predefinito da Security Hub CSPM e include tutte le autorizzazioni richieste da Security Hub CSPM per chiamare altre persone Servizi AWS e monitorare le risorse per tuo conto. AWS Security Hub CSPM utilizza questo ruolo collegato al servizio in tutti i casi in cui Security Regioni AWS Hub CSPM è disponibile.

Un ruolo collegato al servizio semplifica la configurazione di Security Hub CSPM perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Security Hub CSPM definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Security Hub CSPM può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica delle autorizzazioni e non è possibile collegare tale politica di autorizzazioni a nessun'altra entità IAM.

Per esaminare i dettagli del ruolo collegato al servizio, puoi utilizzare la console Security Hub CSPM. ****Nel riquadro di navigazione, scegli Generale in Impostazioni.**** Quindi, nella sezione **Autorizzazioni di servizio, scegli Visualizza le autorizzazioni** **del servizio**.

È possibile eliminare il ruolo collegato al servizio Security Hub CSPM solo dopo aver disabilitato Security Hub CSPM in tutte le regioni in cui è abilitato. Questo protegge le tue risorse CSPM di Security Hub perché non puoi rimuovere inavvertitamente le autorizzazioni per accedervi.

****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM nella *Guida per l'utente* di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e individua i servizi con Sì nella colonna Ruoli collegati ai servizi.**** Scegli un **Sì** con un link per consultare la documentazione del ruolo collegato al servizio per quel servizio.

**Topics**
+ [

## Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPM
](#slr-permissions)
+ [

## Creazione di un ruolo collegato al servizio per Security Hub CSPM
](#create-slr)
+ [

## Modifica di un ruolo collegato al servizio per Security Hub CSPM
](#edit-slr)
+ [

## Eliminazione di un ruolo collegato al servizio per Security Hub CSPM
](#delete-slr)
+ [

## Ruolo collegato ai servizi per AWS Security Hub V2
](#slr-permissions-v2)

## Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPM
<a name="slr-permissions"></a>

Security Hub CSPM utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityHub` È un ruolo collegato al servizio necessario per accedere alle risorse. AWS Security Hub CSPM Questo ruolo collegato al servizio consente a Security Hub CSPM di eseguire attività come ricevere risultati da altri Servizi AWS e configurare l' AWS Config infrastruttura necessaria per eseguire i controlli di sicurezza. Ai fini dell'assunzione del ruolo `AWSServiceRoleForSecurityHub`, il ruolo collegato ai servizi `securityhub.amazonaws.com`considera attendibile il servizio.

Il ruolo collegato ai servizi `AWSServiceRoleForSecurityHub` utilizza la policy gestita [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. `AWSServiceRoleForSecurityHub`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM utilizzata per accedere a Security Hub CSPM deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Creazione di un ruolo collegato al servizio per Security Hub CSPM
<a name="create-slr"></a>

Il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio viene creato automaticamente quando abiliti Security Hub CSPM per la prima volta o quando abiliti Security Hub CSPM in una regione in cui non lo abilitavi in precedenza. Puoi anche creare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.

**Importante**  
Il ruolo collegato al servizio creato per un account amministratore CSPM di Security Hub non si applica agli account membri CSPM di Security Hub associati.

## Modifica di un ruolo collegato al servizio per Security Hub CSPM
<a name="edit-slr"></a>

Security Hub CSPM non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityHub` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.

## Eliminazione di un ruolo collegato al servizio per Security Hub CSPM
<a name="delete-slr"></a>

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.

Quando disabiliti Security Hub CSPM, Security Hub CSPM non elimina automaticamente il ruolo collegato al `AWSServiceRoleForSecurityHub` servizio per te. Se abiliti nuovamente Security Hub CSPM, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzare Security Hub CSPM, è possibile eliminare manualmente il ruolo collegato al servizio.

**Importante**  
Prima di eliminare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio, devi prima disabilitare Security Hub CSPM in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta [Disattivazione del Security Hub CSPM](securityhub-disable.md). Se Security Hub CSPM non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce.

Per eliminare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.

## Ruolo collegato ai servizi per AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityHubV2` Questo ruolo collegato al servizio consente di gestire AWS Config regole e risorse per l'organizzazione e per conto dell'utente. Ai fini dell'assunzione del ruolo `AWSServiceRoleForSecurityHubV2`, il ruolo collegato ai servizi `securityhub.amazonaws.com`considera attendibile il servizio.

Il ruolo collegato ai servizi `AWSServiceRoleForSecurityHubV2` utilizza la policy gestita [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).

**Dettagli delle autorizzazioni**  
 Questa policy include le seguenti autorizzazioni: 
+  `cloudwatch`— Consente al ruolo di recuperare i dati delle metriche per supportare le funzionalità di misurazione delle risorse. 
+  `config`— Consente al ruolo di gestire i registratori di configurazione collegati ai servizi per le risorse, incluso il supporto per i registratori globali. AWS Config 
+  `ecr`— Consente al ruolo di recuperare informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione. 
+  `iam`— Consente al ruolo di creare il ruolo collegato al servizio AWS Config e recuperare le informazioni sull'account per supportare le funzionalità di misurazione. 
+  `lambda`— Consente al ruolo di recuperare informazioni sulla AWS Lambda funzione per supportare le funzionalità di misurazione. 
+  `organizations`— Consente al ruolo di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. 
+  `securityhub`— Consente al ruolo di gestire la configurazione. 
+  `tag`— Consente al ruolo di recuperare informazioni sui tag delle risorse. 

È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. `AWSServiceRoleForSecurityHubV2`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM che utilizzi per accedere deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Creazione di un ruolo collegato ai servizi per AWS Security Hub V2
<a name="create-slr-v2"></a>

Il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio viene creato automaticamente quando lo si abilita per la prima volta o lo si abilita in una regione in cui non era abilitato in precedenza. Puoi anche creare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.

**Importante**  
Il ruolo collegato al servizio creato per un account amministratore non si applica agli account membro associati.

### Modifica di un ruolo collegato al servizio per AWS Security Hub V2
<a name="edit-slr-v2"></a>

 non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityHubV2` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.

### Eliminazione di un ruolo collegato al servizio per Security Hub AWS V2
<a name="delete-slr-v2"></a>

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.

Quando lo disabiliti, non elimina automaticamente il ruolo collegato al `AWSServiceRoleForSecurityHubV2` servizio per te. Se lo abiliti nuovamente, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzarlo, è possibile eliminare manualmente il ruolo collegato al servizio.

**Importante**  
Prima di eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, devi prima disabilitarlo in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta [Disattivazione del Security Hub CSPM](securityhub-disable.md). Se non è disabilitato quando elimini il ruolo collegato ai servizi, l'operazione non riesce.

Per eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.

# AWS politiche gestite per Security Hub
<a name="security-iam-awsmanpol"></a>

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.



## AWS politica gestita: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

È possibile allegare la policy `AWSSecurityHubFullAccess` alle identità IAM.

Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni CSPM di Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub CSPM per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono anche configurare approfondimenti personalizzati, abilitare integrazioni e abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente ai responsabili l'accesso completo a tutte le azioni CSPM di Security Hub.
+ `guardduty`— Consente ai responsabili di eseguire la gestione completa del ciclo di vita di un rilevatore, la gestione degli amministratori dell'organizzazione, la gestione degli account dei membri e la configurazione a livello di organizzazione in Amazon. GuardDuty Ciò include le azioni API: GetDetector,,,,,,, ListDetector. CreateDetector UpdateDetector DeleteDetector EnableOrganizationAdminAccount ListOrganizationAdminAccounts CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration 
+ `iam`— Consente ai responsabili di creare un ruolo collegato ai servizi per Security Hub CSPM e Security Hub e di ottenere ruoli, policy e versioni di policy.
+ `inspector`— Consente ai responsabili di ottenere informazioni sullo stato dell'account, abilitare o disabilitare, delegare la gestione amministrativa ed eseguire la gestione della configurazione dell'organizzazione in Amazon Inspector. Ciò include le azioni API: BatchGetAccountStatus, Abilita,,,, EnableDelegatedAdminAccount DisableDelegatedAdminAccount, ListDelegatedAdminAccounts. UpdateOrganizationConfiguration DescribeOrganizationConfiguration
+ `pricing`— Consente ai committenti di ottenere un listino prezzi Servizi AWS e prodotti.
+ `account`— Consente ai responsabili di ottenere informazioni sulle regioni degli account per supportare la gestione delle regioni in Security Hub.

Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)la *AWS Managed Policy Reference Guide.*

## AWS politica gestita: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

È possibile allegare la policy `AWSSecurityHubReadOnlyAccess` alle identità IAM.

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub CSPM. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub CSPM. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Ciò include le operazioni API che iniziano con `Get``List`, o`Describe`.

Per esaminare le autorizzazioni relative a questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)la *AWS Managed Policy Reference Guide*.

## AWS politica gestita: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 È possibile allegare la policy `AWSSecurityHubOrganizationsAccess` alle identità IAM. 

Questa politica concede le autorizzazioni amministrative per abilitare e gestire Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro. 

Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestita`AWSSecurityHubFullAccess`. 

La creazione o l'aggiornamento di una politica di amministratore delegato in un account di gestione richiede autorizzazioni aggiuntive non fornite in questa politica. Per eseguire queste azioni si consiglia di aggiungere autorizzazioni `organizations:PutResourcePolicy` o allegare la politica. AWSOrganizations FullAccess 

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAccounts`— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.
+ `organizations:DescribeOrganization`— Consente ai dirigenti di recuperare informazioni sull'organizzazione.
+ `organizations:ListRoots`— Consente ai dirigenti di elencare la radice di un'organizzazione.
+ `organizations:ListDelegatedAdministrators`— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.
+ `organizations:ListAccountsForParent`— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.
+  `organizations:ListParents`— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato. 
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell'organizzazione.
+ `organizations:DescribeOrganizationalUnit`— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.
+  `organizations:ListPolicies`— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato. 
+  `organizations:ListPoliciesForTarget`— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati. 
+  `organizations:ListTargetsForPolicy`— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata. 
+ `organizations:EnableAWSServiceAccess`— Consente ai presidi di abilitare l'integrazione con Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente ai responsabili di designare l'account amministratore delegato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente ai responsabili di rimuovere l'account amministratore delegato.
+  `organizations:DescribePolicy`— Recupera informazioni su una politica. 
+  `organizations:DescribeEffectivePolicy`— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati. 
+  `organizations:CreatePolicy`— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un AWS account individuale. 
+  `organizations:UpdatePolicy`— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto. 
+  `organizations:DeletePolicy`— Elimina la politica specificata dall'organizzazione. 
+  `organizations:AttachPolicy`— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale. 
+  `organizations:DetachPolicy`— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione. 
+  `organizations:EnablePolicyType`— Abilita un tipo di policy in una radice. 
+  `organizations:DisablePolicyType`— Disattiva un tipo di politica organizzativa in una radice. 
+  `organizations:TagResource`— Aggiunge uno o più tag a una risorsa specificata. 
+  `organizations:UntagResource`— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata. 
+  `organizations:ListTagsForResource`— Elenca i tag allegati a una risorsa specificata. 
+  `organizations:DescribeResourcePolicy`— Recupera informazioni su una politica delle risorse. 

Per esaminare le autorizzazioni relative a questa politica, vedere [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)la *AWS Managed Policy Reference Guide.*

## AWS politica gestita: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

Non è possibile collegare `AWSSecurityHubServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Hub CSPM di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md).

Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire attività come eseguire controlli di sicurezza per i controlli CSPM di Security Hub.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `cloudtrail`— Recupera informazioni sui sentieri. CloudTrail 
+ `cloudwatch`— Recupera gli allarmi correnti CloudWatch .
+ `logs`— Recupera i filtri metrici per i log. CloudWatch 
+ `sns`— Recupera l'elenco degli abbonamenti a un argomento SNS.
+ `config`— Recupera informazioni sui registratori di configurazione, sulle risorse e sulle regole. AWS Config Consente inoltre al ruolo collegato al servizio di creare ed eliminare AWS Config regole e di eseguire valutazioni in base alle regole.
+ `iam`— Recupera e genera report sulle credenziali per gli account.
+ `organizations`— Recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ `securityhub`— Recupera informazioni su come sono configurati il servizio CSPM, gli standard e i controlli di Security Hub.
+ `tag`— Recupera informazioni sui tag delle risorse.

Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*

## AWS politica gestita: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**Nota**  
 Security Hub è in versione di anteprima ed è soggetto a modifiche. 

Questa politica consente a Security Hub di gestire AWS Config le regole e le risorse del Security Hub per l'organizzazione e per conto dell'utente. Questa policy è associata a un ruolo collegato al servizio che consente al servizio di eseguire azioni per conto dell'utente. Non è possibile allegare la policy alle identità IAM. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md). 

**Dettagli delle autorizzazioni**  
 Questa policy include le seguenti autorizzazioni: 
+  `cloudwatch`— Recupera i dati delle metriche per supportare le funzionalità di misurazione per le risorse del Security Hub. 
+  `config`— Gestione dei registratori di configurazione collegati ai servizi per le risorse Security Hub, incluso il supporto per i registratori Config globali. 
+  `ecr`— Recupera informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione. 
+  `iam`— Crea il ruolo collegato al servizio AWS Config e recupera le informazioni sull'account per supportare le funzionalità di misurazione. 
+  `lambda`— Recupera le informazioni sulle AWS Lambda funzioni per supportare le funzionalità di misurazione. 
+  `organizations`— Recupera informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. 
+  `securityhub`— Gestire la configurazione del Security Hub. 
+  `tag`— Recupera informazioni sui tag delle risorse. 

Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*

## Aggiornamenti del Security Hub alle policy AWS gestite
<a name="security-iam-awsmanpol-updates"></a>

La tabella seguente fornisce dettagli sugli aggiornamenti alle politiche AWS gestite per AWS Security Hub e Security Hub CSPM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sugli aggiornamenti delle politiche, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Security Hub](doc-history.md).








| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Politica aggiornata   |  Security Hub ha aggiornato la politica per aggiungere autorizzazioni per descrivere le politiche delle risorse per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche.   | 12 novembre 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Politica aggiornata   |  Security Hub ha aggiornato la policy per aggiungere funzionalità di gestione GuardDuty, Amazon Inspector e gestione degli account per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche.   | 17 novembre 2025 | 
|   [AWSSecurityHUBv2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Politica aggiornata   |  Security Hub ha aggiornato la policy per aggiungere funzionalità di misurazione per Amazon Elastic Container Registry AWS Lambda CloudWatch, Amazon e AWS Identity and Access Management per supportare le funzionalità di Security Hub. L'aggiornamento ha inoltre aggiunto il supporto per i AWS Config registratori globali. Security Hub è in versione di anteprima ed è soggetto a modifiche.   | 5 novembre 2025 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): aggiornamento di una policy esistente  | Security Hub ha aggiunto nuove autorizzazioni alla policy. Le autorizzazioni consentono alla direzione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM per un'organizzazione.  | 17 giugno 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): aggiornamento di una policy esistente  |  Security Hub CSPM ha aggiunto nuove autorizzazioni che consentono ai responsabili di creare un ruolo collegato al servizio per Security Hub.  | 17 giugno 2025 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente  | Security Hub CSPM ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti.  | 24 aprile 2024 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aggiornamento a una politica esistente  | Security Hub CSPM ha aggiornato questa politica gestita aggiungendo un Sid campo.  | 22 febbraio 2024 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente  | Security Hub CSPM ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire più informazioni relative alla sicurezza. Servizi AWS | 16 novembre 2023 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aggiornamento a una politica esistente  | Security Hub CSPM ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore delegato. AWS Organizations Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio.  | 16 novembre 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha aggiunto le BatchGetSecurityControls autorizzazioni e UpdateSecurityControl le autorizzazioni per leggere e aggiornare le proprietà di controllo di sicurezza personalizzabili. DisassociateFromAdministratorAccount  | 26 novembre 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha aggiunto l'tag:GetResourcesautorizzazione a leggere i tag delle risorse relativi ai risultati.  | 7 novembre 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha aggiunto l'BatchGetStandardsControlAssociationsautorizzazione per ottenere informazioni sullo stato di abilitazione di un controllo in uno standard.  | 27 settembre 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha aggiunto nuove autorizzazioni per ottenere AWS Organizations dati e leggere e aggiornare le configurazioni CSPM di Security Hub, inclusi standard e controlli.  | 20 settembre 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha spostato l'config:DescribeConfigRuleEvaluationStatusautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:DescribeConfigRuleEvaluationStatusautorizzazione viene ora applicata a tutte le risorse.  | 17 marzo 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  |  Security Hub CSPM ha spostato l'config:PutEvaluationsautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:PutEvaluationsautorizzazione viene ora applicata a tutte le risorse.  | 14 luglio 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente  | Security Hub CSPM ha aggiunto una nuova autorizzazione per consentire al ruolo collegato al servizio di fornire risultati di valutazione. AWS Config | 29 giugno 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Aggiunto all'elenco delle politiche gestite  | Sono state aggiunte informazioni sulla policy gestita AWSSecurityHubServiceRolePolicy, utilizzata dal ruolo collegato al servizio Security Hub CSPM.  | 11 giugno 2021 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nuova politica  | Security Hub CSPM ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub CSPM con Organizations.  | 15 marzo 2021 | 
| Security Hub CSPM ha iniziato a tracciare le modifiche  | Security Hub CSPM ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.  | 15 marzo 2021 | 

# Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Security Hub CSPM un IAM.

**Topics**
+ [

## Non sono autorizzato a eseguire un'azione in Security Hub CSPM
](#security_iam_troubleshoot-no-permissions)
+ [

## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [

## Desidero l'accesso programmatico a Security Hub CSPM
](#security_iam_troubleshoot-access-keys)
+ [

## Sono un amministratore e desidero consentire ad altri di accedere a Security Hub CSPM
](#security_iam_troubleshoot-admin-delegate)
+ [

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse CSPM Security Hub
](#security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire un'azione in Security Hub CSPM
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.

L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli su un *widget* ma non dispone `securityhub:GetWidget` delle autorizzazioni.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `securityhub:GetWidget`.

## Non sono autorizzato a eseguire iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Security Hub.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Security Hub. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Desidero l'accesso programmatico a Security Hub CSPM
<a name="security_iam_troubleshoot-access-keys"></a>

Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con AWS l'esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.


****  

| Quale utente necessita dell’accesso programmatico? | Per | Come | 
| --- | --- | --- | 
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs |  Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  Identità della forza lavoro (Utenti gestiti nel centro identità IAM)  | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs |  Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. | 
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs |  Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## Sono un amministratore e desidero consentire ad altri di accedere a Security Hub CSPM
<a name="security_iam_troubleshoot-admin-delegate"></a>

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse CSPM Security Hub
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Security Hub supporta queste funzionalità, vedere[Come funziona Security Hub con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.

# Convalida della conformità per AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .

È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).

# Resilienza nel AWS Security Hub
<a name="disaster-recovery-resiliency"></a>

L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.

Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sicurezza dell'infrastruttura in AWS Security Hub CSPM
<a name="infrastructure-security"></a>

In quanto servizio gestito, AWS Security Hub CSPM è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Si utilizzano chiamate API AWS pubblicate per accedere a Security Hub CSPM attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

# AWS Security Hub CSPM e endpoint VPC di interfaccia ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Puoi stabilire una connessione privata tra il tuo VPC e creare un AWS Security Hub CSPM endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere privatamente a Security Hub CSPM APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect. AWS Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Security Hub CSPM. APIs Il traffico tra il tuo VPC e il CSPM di Security Hub non esce dalla rete Amazon. 

Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti. Per ulteriori informazioni, consulta [Accedere a un endpoint VPC Servizio AWS con interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nella *Amazon Virtual Private* Cloud Guide. 

## Considerazioni sugli endpoint VPC CSPM di Security Hub
<a name="vpc-endpoint-considerations"></a>

[Prima di configurare un endpoint VPC di interfaccia per Security Hub CSPM, assicurati di rivedere i prerequisiti e altre informazioni nella Amazon Virtual Private Cloud Guide.](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 

Security Hub CSPM supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC. 

## Creazione di un endpoint VPC di interfaccia per Security Hub CSPM
<a name="vpc-endpoint-create"></a>

Puoi creare un endpoint VPC per il servizio CSPM di Security Hub utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Creare un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Amazon Virtual Private* Cloud Guide.

Crea un endpoint VPC per Security Hub CSPM utilizzando il seguente nome di servizio:

`com.amazonaws.region.securityhub` 

*region*Dov'è il codice regionale applicabile. Regione AWS

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Security Hub CSPM utilizzando il nome DNS predefinito per la regione, `securityhub.us-east-1.amazonaws.com` ad esempio per la regione Stati Uniti orientali (Virginia settentrionale). 

## Creazione di una policy per gli endpoint VPC per Security Hub (CSPM)
<a name="vpc-endpoint-policy"></a>

Puoi allegare una policy per gli endpoint all'endpoint VPC che controlla l'accesso a Security Hub CSPM. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Amazon Virtual* Private Cloud Guide. 

**Esempio: policy degli endpoint VPC per le azioni CSPM di Security Hub**  
Di seguito è riportato un esempio di policy degli endpoint per Security Hub CSPM. Se collegata a un endpoint, questa politica consente l'accesso alle azioni CSPM di Security Hub elencate per tutti i principali su tutte le risorse.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## Sottoreti condivise
<a name="sh-vpc-endpoint-shared-subnets"></a>

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. *Per informazioni sulla condivisione VPC, consulta [Condividi le tue sottoreti VPC con altri account nella Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Virtual Private Cloud Guide.*

# Registrazione delle chiamate API Security Hub con CloudTrail
<a name="securityhub-ct"></a>

AWS Security Hub CSPM è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Security Hub CSPM. CloudTrail acquisisce le chiamate API per Security Hub CSPM come eventi. Le chiamate acquisite includono chiamate dalla console CSPM di Security Hub e chiamate in codice alle operazioni dell'API CSPM di Security Hub. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Security Hub CSPM. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti sulla CloudTrail console nella cronologia degli eventi.** Utilizzando le informazioni CloudTrail raccolte, è possibile determinare la richiesta effettuata a Security Hub CSPM, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. 

[Per saperne di più CloudTrail, incluso come configurarlo e abilitarlo, consulta la Guida per l'AWS CloudTrail utente.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)

## Informazioni CSPM di Security Hub in CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail è abilitato sul tuo Account AWS quando crei l'account. **Quando si verifica un'attività di evento supportata in Security Hub CSPM, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account . Per ulteriori informazioni, vedere [Visualizzazione degli eventi con CloudTrail la cronologia degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Per una registrazione continua degli eventi nel tuo account, inclusi gli eventi per Security Hub CSPM, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un trail nella console, il trail si applica a tutte le regioni AWS . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti: 
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account

Security Hub CSPM supporta la registrazione di tutte le azioni dell'API CSPM di Security Hub come eventi nei registri. CloudTrail Per visualizzare un elenco delle operazioni CSPM di Security Hub, consulta il riferimento all'API [CSPM di Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Quando viene registrata l'attività per le seguenti azioni CloudTrail, il valore di è impostato su. `responseElements` `null` Ciò garantisce che le informazioni sensibili non siano incluse nei CloudTrail registri.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue: 
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM)
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio

Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Esempio: voci del file di registro CSPM di Security Hub
<a name="understanding-service-name-entries"></a>

Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`CreateInsight`azione. In questo esempio, viene creata un'informazione dettagliata denominata `Test Insight`. L'attributo `ResourceId` viene specificato come l'aggregatore **Group by (Raggruppa per)** e non viene specificato alcun filtro opzionale per questa informazione dettagliata. Per ulteriori informazioni sulle informazioni dettagliate, consulta [Visualizzazione degli approfondimenti in Security Hub CSPM](securityhub-insights.md).

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```