Security Hub コントロールのリージョン制限

〔ElastiCache.4] ElastiCache レプリケーショングループは保管時に暗号化する必要があります

〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録 AWS Config設定が必要です

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.5] Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔RDS.37] Aurora PostgreSQL DB クラスターは ログに CloudWatch ログを発行する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム で起動する必要があります VPC

〔SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

〔ACM.3] ACM証明書にはタグを付ける必要があります

[Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔APIGateway.5] APIゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

〔AppSync.4] AWS AppSync GraphQL にはタグを付けるAPIs必要があります

〔AppSync.5] AWS AppSync GraphQL APIs はAPIキーで認証しないでください

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.2] Athena データカタログにはタグを付ける必要があります

[Athena.3] Athena ワークグループにはタグを付ける必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

〔AutoScaling.3] Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するようにインスタンスを設定する必要があります

〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.3] AWS Backup ボールトにはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録 AWS Config設定が必要です

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります

[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.52] EC2 Transit Gateway にはタグを付ける必要があります

〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EC2.55] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ECR API

〔EC2.56] は Docker Registry のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.57] は Systems Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.171] EC2VPN接続ではログ記録が有効になっている必要があります

〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティが設定されている必要があります

〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.3] ECSタスク定義はホストのプロセス名前空間を共有しないでください

〔ECS.4] ECSコンテナは非特権として実行する必要があります

〔ECS.5] ECSコンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります

〔ECS.8] シークレットはコンテナ環境変数として渡さないでください

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります

〔ECS.12] ECSクラスターは Container Insights を使用する必要があります

〔ECS.16] ECSタスクセットはパブリック IP アドレスを自動的に割り当てないでください

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔EFS.3] EFSアクセスポイントはルートディレクトリを適用する必要があります

〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります

〔EFS.5] EFS アクセスポイントにはタグを付ける必要があります

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません

〔EFS.7] EFS ファイルシステムでは、自動バックアップを有効にする必要があります

〔EFS.8] EFS ファイルシステムは保管時に暗号化する必要があります

〔EKS.1] EKSクラスターエンドポイントはパブリックにアクセスできません

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

〔EKS.6] EKSクラスターにはタグを付ける必要があります

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.10] Classic Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.13] Application、Network、Gateway Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.2] ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

〔ElastiCache.4] ElastiCache レプリケーショングループは保管時に暗号化する必要があります

〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

〔EMR.2] Amazon EMRブロックパブリックアクセス設定を有効にする必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

[ES.9] Elasticsearch ドメインにはタグを付ける必要があります

〔EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります

FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります

〔GuardDuty.5] GuardDuty EKS 監査ログのモニタリングを有効にする必要があります

〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります

〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります

〔GuardDuty.8] GuardDuty のマルウェア保護を有効にするEC2必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.7] IAMユーザーのパスワードポリシーには強力な設定が必要です

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config設定が必要です

〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が必要であることを確認する

〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります

[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

〔KMS.3] 意図せずに削除 AWS KMS keys することはできません

〔KMS.5] KMSキーはパブリックにアクセスできません

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります

〔MSK.2] MSKクラスターには拡張モニタリングが設定されている必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください

[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります

[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります

[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

[PCA.1] AWS Private CA ルート認証機関は無効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

〔RDS.18] RDSインスタンスは にデプロイする必要があります VPC

〔RDS.23] RDSインスタンスはデータベースエンジンのデフォルトポートを使用しないでください

〔RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

〔RDS.25] RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.27] RDS DB クラスターは保管時に暗号化する必要があります

〔RDS.30] RDS DB インスタンスにはタグを付ける必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.32] RDS DB スナップショットにはタグを付ける必要があります

〔RDS.34] AuroraSQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔RDS.36] RDS for PostgreSQL DB インスタンスはログを CloudWatch ログに発行する必要があります

〔RDS.37] Aurora PostgreSQL DB クラスターは ログに CloudWatch ログを発行する必要があります

PostgreSQL DB インスタンスRDSの [RDS.38] は転送中に暗号化する必要があります

DB SQLインスタンスRDSの [RDS.39] は転送中に暗号化する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Redshift.11] Redshift クラスターにはタグを付ける必要があります

[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります

[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります

[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります

[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です

[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります

[S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください

[S3.13] S3 汎用バケットにはライフサイクル設定が必要です

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.20] S3 汎用バケットではMFA、削除を有効にする必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム で起動する必要があります VPC

〔SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

〔SageMaker.4] SageMaker AI エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくする必要があります

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります

〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります

〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります

〔SNS.4] SNSトピックアクセスポリシーでは、パブリックアクセスを許可しないでください

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔SSM.4] SSMドキュメントは公開しないでください

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

〔StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります

[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.4] AWS WAF Classic Regional Web には、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

〔WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

〔AppSync.5] AWS AppSync GraphQL APIs はAPIキーで認証しないでください

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.2] ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

〔ElastiCache.4] ElastiCache レプリケーショングループは保管時に暗号化する必要があります

〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config設定が必要です

〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が必要であることを確認する

〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔RDS.37] Aurora PostgreSQL DB クラスターは ログに CloudWatch ログを発行する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります

[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム で起動する必要があります VPC

〔SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SNS.1] SNSトピックは、 を使用して保管時に暗号化する必要があります AWS KMS

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔SSM.4] SSMドキュメントは公開しないでください

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

〔StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.2] DynamoDB テーブルでは point-in-time復旧が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

〔EC2.10] Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.55] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ECR API

〔EC2.56] は Docker Registry のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.57] は Systems Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.3] Classic Load Balancer リスナーは HTTPSまたは TLS終了で設定する必要があります

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は、 VPC

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.4] RDSクラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります

〔RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SNS.1] SNSトピックは、 を使用して保管時に暗号化する必要があります AWS KMS

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

〔ACM.3] ACM証明書にはタグを付ける必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.4] AWS AppSync GraphQL にはタグを付けるAPIs必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.2] Athena データカタログにはタグを付ける必要があります

[Athena.3] Athena ワークグループにはタグを付ける必要があります

〔AutoScaling.10] EC2 Auto Scaling グループにはタグを付ける必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.3] AWS Backup ボールトにはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります

[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.35] EC2ネットワークインターフェイスにはタグを付ける必要があります

〔EC2.36] EC2カスタマーゲートウェイにはタグを付ける必要があります

〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります

〔EC2.38] EC2インスタンスにはタグを付ける必要があります

〔EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.41] EC2ネットワークにはタグを付けるACLs必要があります

〔EC2.42] EC2ルートテーブルにはタグを付ける必要があります

〔EC2.43] EC2 セキュリティグループにはタグを付ける必要があります

〔EC2.44] EC2サブネットにはタグを付ける必要があります

〔EC2.45] EC2ボリュームにはタグを付ける必要があります

〔EC2.46] Amazon にはタグを付けるVPCs必要があります

〔EC2.47] Amazon VPCエンドポイントサービスにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.49] Amazon VPCピアリング接続にはタグを付ける必要があります

〔EC2.50] EC2VPNゲートウェイにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.52] EC2 Transit Gateway にはタグを付ける必要があります

〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.171] EC2VPN接続ではログ記録が有効になっている必要があります

〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.13] ECSサービスにはタグを付ける必要があります

〔ECS.14] ECSクラスターにはタグを付ける必要があります

〔ECS.15] ECSタスク定義にはタグを付ける必要があります

〔EFS.5] EFS アクセスポイントにはタグを付ける必要があります

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

〔EKS.6] EKSクラスターにはタグを付ける必要があります

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.2] Amazon EMRブロックパブリックアクセス設定を有効にする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

[ES.9] Elasticsearch ドメインにはタグを付ける必要があります

〔EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります

FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります

〔GuardDuty.5] GuardDuty EKS 監査ログのモニタリングを有効にする必要があります

〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります

〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります

〔GuardDuty.8] GuardDuty のマルウェア保護を有効にするEC2必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

〔IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります

[Lambda.6] Lambda 関数にはタグを付ける必要があります

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください

[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります

[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります

[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

[PCA.1] AWS Private CA ルート認証機関は無効にする必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.16] RDS DB クラスターは、タグをスナップショットにコピーするように設定する必要があります

〔RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

〔RDS.25] RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.27] RDS DB クラスターは保管時に暗号化する必要があります

〔RDS.28] RDS DB クラスターにはタグを付ける必要があります

〔RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります

〔RDS.30] RDS DB インスタンスにはタグを付ける必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.32] RDS DB スナップショットにはタグを付ける必要があります

〔RDS.33] RDS DB サブネットグループにはタグを付ける必要があります

〔RDS.34] AuroraSQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔RDS.37] Aurora PostgreSQL DB クラスターは ログに CloudWatch ログを発行する必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Redshift.11] Redshift クラスターにはタグを付ける必要があります

[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります

[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります

[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります

[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.4] SageMaker AI エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくする必要があります

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

〔SecretsManager.5] Secrets Manager シークレットにはタグを付ける必要があります

[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります

〔SNS.3] SNSトピックにはタグを付ける必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります

[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

〔ACM.3] ACM証明書にはタグを付ける必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.4] AWS AppSync GraphQL にはタグを付けるAPIs必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.2] Athena データカタログにはタグを付ける必要があります

[Athena.3] Athena ワークグループにはタグを付ける必要があります

〔AutoScaling.10] EC2 Auto Scaling グループにはタグを付ける必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.3] AWS Backup ボールトにはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります

[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.35] EC2ネットワークインターフェイスにはタグを付ける必要があります

〔EC2.36] EC2カスタマーゲートウェイにはタグを付ける必要があります

〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります

〔EC2.38] EC2インスタンスにはタグを付ける必要があります

〔EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.41] EC2ネットワークにはタグを付けるACLs必要があります

〔EC2.42] EC2ルートテーブルにはタグを付ける必要があります

〔EC2.43] EC2 セキュリティグループにはタグを付ける必要があります

〔EC2.44] EC2サブネットにはタグを付ける必要があります

〔EC2.45] EC2ボリュームにはタグを付ける必要があります

〔EC2.46] Amazon にはタグを付けるVPCs必要があります

〔EC2.47] Amazon VPCエンドポイントサービスにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.49] Amazon VPCピアリング接続にはタグを付ける必要があります

〔EC2.50] EC2VPNゲートウェイにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.52] EC2 Transit Gateway にはタグを付ける必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.171] EC2VPN接続ではログ記録が有効になっている必要があります

〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.13] ECSサービスにはタグを付ける必要があります

〔ECS.14] ECSクラスターにはタグを付ける必要があります

〔ECS.15] ECSタスク定義にはタグを付ける必要があります

〔EFS.3] EFSアクセスポイントはルートディレクトリを適用する必要があります

〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります

〔EFS.5] EFS アクセスポイントにはタグを付ける必要があります

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

〔EKS.6] EKSクラスターにはタグを付ける必要があります

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.2] Amazon EMRブロックパブリックアクセス設定を有効にする必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

[ES.9] Elasticsearch ドメインにはタグを付ける必要があります

〔EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります

FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります

〔GuardDuty.5] GuardDuty EKS 監査ログのモニタリングを有効にする必要があります

〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります

〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります

〔GuardDuty.8] GuardDuty のマルウェア保護を有効にするEC2必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

〔IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は、 VPC

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります

[Lambda.6] Lambda 関数にはタグを付ける必要があります

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください

[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります

[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります

[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

[PCA.1] AWS Private CA ルート認証機関は無効にする必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

〔RDS.25] RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.28] RDS DB クラスターにはタグを付ける必要があります

〔RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります

〔RDS.30] RDS DB インスタンスにはタグを付ける必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.32] RDS DB スナップショットにはタグを付ける必要があります

〔RDS.33] RDS DB サブネットグループにはタグを付ける必要があります

〔RDS.34] AuroraSQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Redshift.11] Redshift クラスターにはタグを付ける必要があります

[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります

[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります

[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります

[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.4] SageMaker AI エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくする必要があります

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

〔SecretsManager.5] Secrets Manager シークレットにはタグを付ける必要があります

[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります

〔SNS.3] SNSトピックにはタグを付ける必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります

[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.4] RDSクラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージでは AWS X-Ray トレースを有効にする必要があります

〔APIGateway.4] APIゲートウェイはWAFウェブに関連付ける必要があります ACL

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[DynamoDB.2] DynamoDB テーブルでは point-in-time復旧が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.3] Classic Load Balancer リスナーは HTTPSまたは TLS終了で設定する必要があります

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.5] Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります

〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は、 VPC

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

〔RDS.4] RDSクラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります

〔RDS.5] RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります

〔RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります

〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.11] RDSインスタンスでは、自動バックアップが有効になっている必要があります

〔RDS.12] IAM認証はRDSクラスター用に設定する必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔RDS.37] Aurora PostgreSQL DB クラスターは ログに CloudWatch ログを発行する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

[S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります

[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム で起動する必要があります VPC

〔SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SNS.1] SNSトピックは、 を使用して保管時に暗号化する必要があります AWS KMS

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります

[Detective.1] 検出動作グラフにはタグを付ける必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[DynamoDB.2] DynamoDB テーブルでは point-in-time復旧が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.3] Classic Load Balancer リスナーは HTTPSまたは TLS終了で設定する必要があります

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 機密データ自動検出を有効にする必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

〔RDS.5] RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります

〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックが有効になっている必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

〔RDS.35] RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

〔SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム で起動する必要があります VPC

〔SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

[SES.1] SES 連絡先リストにはタグを付ける必要があります

[SES.2] SES 設定セットにはタグを付ける必要があります

〔SNS.1] SNSトピックは、 を使用して保管時に暗号化する必要があります AWS KMS

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SQS.2] SQS キューにはタグを付ける必要があります

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります

[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔APIGateway.8] API ゲートウェイルートは認可タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

〔AppSync.5] AWS AppSync GraphQL APIs はAPIキーで認証しないでください

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

[Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.7] CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります

[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.2] DMS証明書にはタグを付ける必要があります

〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります

〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります

〔DMS.5] DMSレプリケーションサブネットグループにはタグを付ける必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.10] Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります

〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔EC2.55] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ECR API

〔EC2.56] は Docker Registry のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.57] は Systems Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.60] は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります

〔EC2.170] EC2起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティが設定されている必要があります

〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔ECS.16] ECSタスクセットはパブリック IP アドレスを自動的に割り当てないでください

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔EFS.3] EFSアクセスポイントはルートディレクトリを適用する必要があります

〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません

〔EFS.7] EFS ファイルシステムでは、自動バックアップを有効にする必要があります

〔EFS.8] EFS ファイルシステムは保管時に暗号化する必要があります

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

〔EKS.6] EKSクラスターにはタグを付ける必要があります

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.2] ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

〔ElastiCache.4] ElastiCache レプリケーショングループは保管時に暗号化する必要があります

〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.7] IAMユーザーのパスワードポリシーには強力な設定が必要です

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config設定が必要です

〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が必要であることを確認する

〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します Support

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

〔IAM.21] 作成するIAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.24] IAMロールにはタグを付ける必要があります

〔IAM.25] IAM ユーザーにはタグを付ける必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります