翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールのリージョン制限
ほとんどの AWS Security Hub コントロールは、一部の でのみ使用できます AWS リージョン。このページには、各リージョンで使用できないコントロールが表示されます。サインインしているリージョンで使用できない場合、そのコントロールは Security Hub コンソールのコントロールリストに表示されません。ただし、集約リージョンにサインインしている場合は例外です。その場合は、集約リージョンまたは 1 つ以上のリンクされたリージョンで利用できるコントロールが表示されます。
目次
- 米国東部 (バージニア北部)
- 米国東部 (オハイオ)
- 米国西部 (北カリフォルニア)
- 米国西部 (オレゴン)
- アフリカ (ケープタウン)
- アジアパシフィック (香港)
- アジアパシフィック (ハイデラバード)
- アジアパシフィック (ジャカルタ)
- アジアパシフィック (ムンバイ)
- アジアパシフィック (メルボルン)
- アジアパシフィック (大阪)
- アジアパシフィック (ソウル)
- アジアパシフィック (シンガポール)
- アジアパシフィック (シドニー)
- アジアパシフィック (東京)
- カナダ (中部)
- 中国 (北京)
- 中国 (寧夏)
- ヨーロッパ (フランクフルト)
- ヨーロッパ (アイルランド)
- ヨーロッパ (ロンドン)
- ヨーロッパ (ミラノ)
- ヨーロッパ (パリ)
- 欧州 (スペイン)
- ヨーロッパ (ストックホルム)
- 欧州 (チューリッヒ)
- イスラエル (テルアビブ)
- 中東 (バーレーン)
- 中東 (UAE)
- 南米 (サンパウロ)
- AWS GovCloud (米国東部)
- AWS GovCloud (米国西部)
米国東部 (バージニア北部)
以下のコントロールは米国東部 (バージニア北部) ではサポートされていません。
米国東部 (オハイオ)
米国東部 (オハイオ) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
米国西部 (北カリフォルニア)
米国西部 (北カリフォルニア) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
米国西部 (オレゴン)
米国西部 (オレゴン) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アフリカ (ケープタウン)
アフリカ (ケープタウン) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (香港)
アジアパシフィック (香港) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (ハイデラバード)
以下のコントロールはアジアパシフィック (ハイデラバード) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットにパブリックにアクセスできないようにする
-
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認します
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
〔RDS.37] Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります
-
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (ジャカルタ)
以下のコントロールはアジアパシフィック (ジャカルタ) ではサポートされていません。
-
〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
-
〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.12] Application Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔ServiceCatalog.1] Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (ムンバイ)
アジアパシフィック (ムンバイ) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (メルボルン)
以下のコントロールはアジアパシフィック (メルボルン) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
-
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
〔RDS.37] Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (大阪)
アジアパシフィック (大阪) では、以下のコントロールはサポートされていません。
-
〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.10] Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS 終了で設定する必要があります
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護が有効になっている必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (ソウル)
アジアパシフィック (ソウル) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (シンガポール)
アジアパシフィック (シンガポール) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (シドニー)
アジアパシフィック (シドニー) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
アジアパシフィック (東京)
アジアパシフィック (東京) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
カナダ (中部)
カナダ (中部) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
中国 (北京)
中国 (北京) では、以下のコントロールはサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください
-
〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
-
〔NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
〔RDS.37] Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります
-
[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの進入を許可する必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SageMaker.4] SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きい必要があります
-
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
-
〔ServiceCatalog.1] Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ
-
[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
中国 (寧夏)
中国 (寧夏) では、以下のコントロールはサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
-
〔NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの進入を許可する必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SageMaker.4] SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きい必要があります
-
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
-
〔ServiceCatalog.1] Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ
-
[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (フランクフルト)
ヨーロッパ (フランクフルト) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (アイルランド)
ヨーロッパ (アイルランド) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (ロンドン)
ヨーロッパ (ロンドン) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (ミラノ)
ヨーロッパ (ミラノ) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (パリ)
ヨーロッパ (パリ) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
欧州 (スペイン)
以下のコントロールは欧州 (スペイン) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットにパブリックにアクセスできないようにする
-
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認します
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS 終了で設定する必要があります
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護が有効になっている必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
〔RDS.37] Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります
-
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
ヨーロッパ (ストックホルム)
ヨーロッパ (ストックホルム) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
欧州 (チューリッヒ)
以下のコントロールは欧州 (チューリッヒ) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットにパブリックにアクセスできないようにする
-
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認します
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS 終了で設定する必要があります
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
イスラエル (テルアビブ)
イスラエル (テルアビブ) では、以下のコントロールはサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.10] Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
-
〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護が有効になっている必要があります
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
-
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
〔RDS.37] Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります
-
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
-
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔ServiceCatalog.1] Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
中東 (バーレーン)
中東 (バーレーン) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
中東 (UAE)
中東 () では、以下のコントロールはサポートされていませんUAE。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CloudTrail.1]読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡で有効化および設定 CloudTrail する必要があります
-
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットにパブリックにアクセスできないようにする
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
-
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
-
〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS 終了で設定する必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
-
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
-
〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
南米 (サンパウロ)
南米 (サンパウロ) では、以下のコントロールはサポートされていません。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
AWS GovCloud (米国東部)
以下のコントロールは AWS GovCloud (米国東部) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります
-
〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
-
〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります。 AWS Certificate Manager
-
〔ELB.12] Application Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
-
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
-
〔NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
AWS GovCloud (米国西部)
以下のコントロールは AWS GovCloud (米国西部) ではサポートされていません。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります
-
〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
-
〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
-
〔ELB.12] Application Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.13] アプリケーション、ネットワーク、ゲートウェイロードバランサーは複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御的または最も厳格な非同期緩和モードに設定する必要があります
-
〔ELB.16] Application Load Balancer は AWS WAF ウェブに関連付ける必要があります ACL
-
〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります
-
〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります
-
〔ElastiCache.3] ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは Redis OSSAUTHが有効になっている必要があります
-
〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
-
[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
FSx OpenZFS ファイルシステムの [FSx.1] は、タグをバックアップとボリュームにコピーするように設定する必要があります
-
FSx Lustre ファイルシステムの [FSx.2] は、タグをバックアップにコピーするように設定する必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
〔NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
-
〔NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
-
〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
-
[S3.24] S3 マルチリージョンアクセスポイントでは、パブリックアクセスのブロック設定が有効になっている必要があります
-
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
-
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です