翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準
AWS Foundational Security Best Practices 標準は、 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールです。
この標準では、すべての AWS アカウント および ワークロードを継続的に評価して、ベストプラクティスから逸脱する領域をすばやく特定できます。組織のセキュリティ体制を改善および維持する方法について、実践的かつ規範的なガイダンスを提供します。
コントロールには、複数の AWS のサービスからの、リソースに対するセキュリティのベストプラクティスが含まれます。また、各コントロールには、適用先のセキュリティ機能を反映するカテゴリが割り当てられます。詳細については、「Security Hub のコントロールカテゴリのリスト」を参照してください。
FSBP 標準に適用されるコントロール。
[Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります
〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります
〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります
〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL
〔APIGateway.5] APIゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります
〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります
〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります
〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります
〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります
〔AppSync.5] AWS AppSync GraphQL APIs はAPIキーで認証しないでください
〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります
[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります
〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります
〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください
〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります
[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります
〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります
〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください
〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります
〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります
〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります
〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください
〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください
〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録 AWS Config設定が必要です
〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります
[Config.1] を有効にし、サービスにリンクされたロールをリソースの記録に使用する AWS Config 必要があります
[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります
[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります
〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります
〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります
〔DMS.9] DMSエンドポイントは を使用する必要があります SSL
Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります
MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります
Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります
[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります
[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります
[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります
[DynamoDB.2] DynamoDB テーブルでは point-in-time復旧が有効になっている必要があります
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります
[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります
[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします
[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします
[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります
[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします
[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします
[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします
[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします
[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします
[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします
[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします
[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします
[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません
[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります
[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります
[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします
[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします
[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします
[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります
[EC2.55] VPCsは ECR API のインターフェイスエンドポイントで設定する必要があります
[EC2.56] VPCsは Docker Registry のインターフェイスエンドポイントで設定する必要があります
[EC2.57] VPCs は Systems Manager のインターフェイスエンドポイントで設定する必要があります
[EC2.58] VPCs は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります
[EC2.60] VPCs Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります
[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります
[EC2.172] EC2 VPC ブロックパブリックアクセス設定は、インターネットゲートウェイトラフィックをブロックする必要があります
〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります
〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティが設定されている必要があります
〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります
〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。
〔ECS.2] ECSサービスには、パブリック IP アドレスを自動的に割り当てないでください
〔ECS.3] ECSタスク定義はホストのプロセス名前空間を共有しないでください
〔ECS.4] ECSコンテナは非特権として実行する必要があります
〔ECS.5] ECSコンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります
〔ECS.8] シークレットはコンテナ環境変数として渡さないでください
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
〔ECS.12] ECSクラスターは Container Insights を使用する必要があります
〔ECS.16] ECSタスクセットはパブリック IP アドレスを自動的に割り当てないでください
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります
〔EFS.3] EFSアクセスポイントはルートディレクトリを適用する必要があります
〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります
〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません
〔EFS.7] EFS ファイルシステムでは、自動バックアップを有効にする必要があります
〔EFS.8] EFS ファイルシステムは保管時に暗号化する必要があります
〔EKS.1] EKSクラスターエンドポイントはパブリックにアクセスできません
〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります
〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります
〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
〔ElastiCache.2] ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります
〔ElastiCache.4] ElastiCache レプリケーショングループは保管時に暗号化する必要があります
〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager
〔ELB.3] Classic Load Balancer リスナーは HTTPSまたは TLS終了で設定する必要があります
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
〔ELB.5] Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります
〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります
〔ELB.7] Classic Load Balancer では、Connection Draining が有効になっている必要があります
〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります
〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります
〔ELB.10] Classic Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります
〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
〔ELB.13] Application、Network、Gateway Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります
〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります
[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります
[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります
[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります
[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります
[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります
[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります
[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります
[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です
[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。
[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります
Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります
〔GuardDuty.1] GuardDuty 有効にする必要があります
〔GuardDuty.5] GuardDuty EKS 監査ログのモニタリングを有効にする必要があります
〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります
〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります
〔GuardDuty.8] GuardDuty のマルウェア保護を有効にするEC2必要があります
〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります
〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります
[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください
[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください
[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります
[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です
[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります
[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません
[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります
[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります
[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります
[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります
[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります
[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です
[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください
[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください
[KMS.3] 意図せずに削除 AWS KMS keys することはできません
[KMS.5] KMS キーはパブリックにアクセスしないでください
[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります
[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります
[Macie.1] Amazon Macie を有効にする必要があります
[Macie.2] Macie 機密データ自動検出を有効にする必要があります
[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch
[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります
〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります
〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります
[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください
[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります
[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります
[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります
[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります
[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります
[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。
[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。
[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください
[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります
[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります
[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります
[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります
[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります
[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります
[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です
[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります
[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります
[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります
[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります
[RDS.1] RDS スナップショットはプライベートである必要があります
[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります
[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。
[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります
[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります
[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります
[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります
[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります
[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります
[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります
[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります
[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります
[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります
[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります
[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります
[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります
[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります
[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります
[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります
[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります
[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります
[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります
[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります
[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります
[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります
[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります
[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください
[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります
[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。
[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります
[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。
[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL
[S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント
[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります
[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります
[S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください
[S3.13] S3 汎用バケットにはライフサイクル設定が必要です
[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
[SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません
[SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム VPC で起動する必要があります
[SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください
[SageMaker.4] SageMaker AI エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きい必要があります
[SageMaker.5] SageMaker モデルはインバウンドトラフィックをブロックする必要があります
〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります
〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります
〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります
〔SNS.4] SNSトピックアクセスポリシーでは、パブリックアクセスを許可しないでください
[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります
〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください
〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります
〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です
〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です
〔WAF.4] AWS WAF Classic Regional Web には、少なくとも 1 つのルールまたはルールグループACLsが必要です
〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です
〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です
〔WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります
[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります
[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります
