기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 기본 보안 모범 사례 v1.0.0(FSBP) 표준
AWS 기본 보안 모범 사례 표준은 AWS 계정 및 리소스가 보안 모범 사례를 벗어나는 시점을 감지하는 제어 세트입니다.
이 표준을 사용하면 모든 AWS 계정 및 워크로드를 지속적으로 평가하여 모범 사례에서 벗어난 영역을 빠르게 식별할 수 있습니다. 이 표준은 조직의 보안 태세를 개선하고 유지하는 방법에 대한 실행 가능한 규범적 지침을 제공합니다.
제어에는 여러 AWS 서비스(으)로부터의 리소스에 대한 보안 모범 사례가 포함됩니다. 각 제어에는 또한 적용되는 보안 기능을 반영하는 범주가 할당됩니다. 자세한 내용은 Security Hub의 제어 범주 목록 섹션을 참조하세요.
FSBP 표준에 적용되는 제어
[Account.1] AWS 계정에 대해 보안 연락처 정보를 제공해야 합니다.
[ACM.1] 가져온 인증서와 ACM발급된 인증서는 지정된 기간 후에 갱신해야 합니다.
[ACM.2]에서 관리하는 RSA 인증서ACM는 최소 2,048비트의 키 길이를 사용해야 합니다.
[APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.
[APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.
[APIGateway.3] API 게이트웨이 REST API 스테이지에는 추적이 AWS X-Ray 활성화되어 있어야 합니다.
[APIGateway.4] API 게이트웨이는 WAF 웹과 연결되어야 합니다. ACL
[APIGateway.5] 유휴 시 API 게이트웨이 REST API 캐시 데이터를 암호화해야 합니다.
[APIGateway.8] API 게이트웨이 경로는 권한 부여 유형을 지정해야 합니다.
[APIGateway.9] API Gateway V2 스테이지에 대해 액세스 로깅을 구성해야 합니다.
[AppSync.1] AWS AppSync API 캐시는 저장 시 암호화되어야 합니다.
[AppSync.2]필드 수준 로깅이 활성화 AWS AppSync 되어 있어야 합니다.
[AppSync.5] AWS AppSync GraphQL은 API 키로 인증해서는 APIs 안 됩니다.
[AppSync.6] AWS AppSync API 캐시는 전송 중에 암호화되어야 합니다.
[Athena.4] Athena 작업 그룹에 로깅이 활성화되어 있어야 합니다.
[AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
[AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
[AutoScaling.9] Amazon EC2 Auto Scaling 그룹은 Amazon EC2 시작 템플릿을 사용해야 합니다.
[Backup.1] AWS Backup 복구 시점은 저장 시 암호화해야 합니다.
[CloudFront.1] CloudFront 분산에는 기본 루트 객체가 구성되어 있어야 합니다.
[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.
[CloudFront.4] CloudFront 분산에는 오리진 장애 조치가 구성되어 있어야 합니다.
[CloudFront.5] CloudFront 분산에는 로깅이 활성화되어 있어야 합니다.
[CloudFront.6] CloudFront 분산이 WAF 활성화되어 있어야 합니다.
[CloudFront.7] CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.
[CloudFront.8]유 CloudFront 통은 HTTPS 요청을 처리하는 SNI 데를 사용해야 합니다.
[CloudFront.9] CloudFront 분산은 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
[CloudFront.10] CloudFront 분산은 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
[CloudFront.12] CloudFront 분산이 존재하지 않는 S3 오리진을 가리키면 안 됩니다.
[CloudFront.13] CloudFront 분산은 오리진 액세스 제어를 사용해야 합니다.
[CloudTrail.1]읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 CloudTrail 합니다.
[CloudTrail.2]저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 트레일은 Amazon CloudWatch Logs와 통합되어야 합니다.
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리는 민감한 자격 증명을 포함하지 URLs 않아야 합니다.
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.
[CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구가 있어야 합니다.
[CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.
[DataFirehose.1] Firehose 전송 스트림은 저장 시 암호화해야 합니다.
[DataSync.1] DataSync 작업에는 로깅이 활성화되어 있어야 합니다.
[DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.
[DMS.6] DMS 복제 인스턴스에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다.
[DMS.7] 대상 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.
[DMS.8] 소스 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.
[DMS.9] DMS 엔드포인트는를 사용해야 합니다. SSL
[DMS.10] Neptune 데이터베이스의 DMS 엔드포인트에는 IAM 권한 부여가 활성화되어 있어야 합니다.
[DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.
[DMS.12] Redis용 DMS 엔드포인트가 TLS 활성화되어 OSS 있어야 합니다.
[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.
[DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.
[DynamoDB.2] DynamoDB 테이블에 복구가 point-in-time 활성화되어 있어야 합니다.
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다
[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.
[EC2.3] 연결된 Amazon EBS 볼륨은 저장 시 암호화되어야 합니다.
[EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.
[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.
[EC2.7] EBS 기본 암호화를 활성화해야 합니다.
[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
[EC2.9] Amazon EC2 인스턴스에는 퍼블릭 IPv4 주소가 없어야 합니다.
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.
[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.
[EC2.17] Amazon EC2 인스턴스는 여러 ENI를 사용해서는 안 됩니다.
[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.
[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.
[EC2.20] AWS Site-to-Site VPN 연결을 위한 두 VPN 터널이 모두 작동해야 합니다.
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
[EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.
[EC2.55] VPCs ECR API용 인터페이스 엔드포인트로 구성해야 합니다.
[EC2.56] VPCs Docker Registry용 인터페이스 엔드포인트로 구성해야 합니다.
[EC2.57] VPCs Systems Manager용 인터페이스 엔드포인트로 구성해야 합니다.
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
[EC2.171] EC2 VPN 연결에는 로깅이 활성화되어 있어야 합니다.
[EC2.172] EC2 VPC 퍼블릭 액세스 차단 설정은 인터넷 게이트웨이 트래픽을 차단해야 합니다.
[ECR.1] ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다.
[ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.
[ECR.3] 리포지토ECR리에는 하나 이상의 수명 주기 정책이 구성되어 있어야 합니다.
[ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.
[ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되지 않아야 합니다.
[ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.
[ECS.4] ECS 컨테이너는 권한이 없는 컨테이너로 실행되어야 합니다.
[ECS.5] ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다.
[ECS.8] 보안 암호를 컨테이너 환경 변수로 전달해서는 안 됩니다.
[ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.
[ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.
[ECS.12] ECS 클러스터는 Container Insights를 사용해야 합니다.
[ECS.16] ECS 작업 세트는 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
[EFS.2] Amazon EFS 볼륨은 백업 계획에 있어야 합니다.
[EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.
[EFS.4] EFS 액세스 포인트는 사용자 자격 증명을 적용해야 합니다.
[EFS.6] EFS 탑재 대상을 퍼블릭 서브넷과 연결해서는 안 됩니다.
[EFS.7] EFS 파일 시스템에 자동 백업이 활성화되어 있어야 합니다.
[EFS.8] EFS 파일 시스템은 저장 시 암호화해야 합니다.
[EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.
[EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다.
[EKS.3] EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다.
[EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.
[ElastiCache.1] ElastiCache (Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[ElastiCache.3] ElastiCache 복제 그룹에 자동 장애 조치가 활성화되어 있어야 합니다.
[ElastiCache.4] ElastiCache 복제 그룹은 유휴 시 암호화해야 합니다.
[ElastiCache.5] ElastiCache 복제 그룹은 전송 중에 암호화되어야 합니다.
[ElastiCache.6] ElastiCache (Redis OSS) 이전 버전의 복제 그룹에는 Redis가 OSS AUTH 활성화되어 있어야 합니다.
[ElastiCache.7] ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고가 활성화되어 있어야 합니다.
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.
[ElasticBeanstalk.3] Elastic Beanstalk는 로 로그를 스트리밍해야 합니다. CloudWatch
[ELB.1] 모든 HTTP 요청을 로 리디렉션하도록 Application Load Balancer를 구성해야 합니다. HTTPS
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성해야 합니다.
[ELB.4] 잘못된 http 헤더를 삭제하도록 Application Load Balancer를 구성해야 합니다.
[ELB.5] 애플리케이션 및 Classic Load Balancer 로깅을 활성화해야 합니다.
[ELB.6] 애플리케이션, 게이트웨이 및 Network Load Balancer에 삭제 방지가 활성화되어 있어야 합니다.
[ELB.7] Classic Load Balancer에는 연결 드레이닝이 활성화되어 있어야 합니다.
[ELB.8] SSL 리스너가 있는 Classic Load Balancer는 강력한 AWS Config요구가 있는 사전 정의된 보안 정책을 사용해야 합니다.
[ELB.9] Classic Load Balancer에는 교차 영역 로드 밸런싱이 활성화되어 있어야 합니다.
[ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.
[ELB.12] Application Load Balancer는 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
[ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.
[ELB.14] Classic Load Balancer는 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.
[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.
[EMR.3] Amazon EMR 보안 구성은 저장 시 암호화되어야 합니다.
[EMR.4] Amazon EMR 보안 구성은 전송 중에 암호화되어야 합니다.
[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.
[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.
[ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
[ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.
[ES.6] Elasticsearch 도메인에는 최소 세 개의 데이터 노드가 있어야 합니다.
[ES.7] Elasticsearch 도메인은 최소 3개의 전용 프라이머리 노드로 구성해야 합니다.
[ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다.
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
오픈ZFS 파일 시스템의 FSx 경우 [FSx.1] 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.
Lustre 파일 시스템의 FSx 경우 [FSx.2] 태그를 백업에 복사하도록 구성해야 합니다.
[Glue.3] AWS Glue 머신 러닝 변환은 저장 시 암호화되어야 합니다.
[GuardDuty.1] GuardDuty 을 활성화해야 합니다.
[GuardDuty.5] GuardDuty EKS 감사 로그 모니터링을 활성화해야 합니다.
[GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.
[GuardDuty.7] GuardDuty EKS 런타임 모니터링을 활성화해야 합니다.
[GuardDuty.8] GuardDuty 용 맬웨어 보호가 활성화되어야 EC2 합니다.
[GuardDuty.9] GuardDuty RDS 보호를 활성화해야 합니다.
[GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.
[IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용해서는 안 됩니다.
[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.
[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.
[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.
[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.
[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.
[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.
[IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.
[Inspector.1] Amazon Inspector EC2 스캔을 활성화해야 합니다.
[Inspector.2] Amazon Inspector ECR 스캔을 활성화해야 합니다.
[Inspector.3] Amazon Inspector Lambda 코드 스캔을 활성화해야 합니다.
[Inspector.4] Amazon Inspector Lambda 표준 스캔을 활성화해야 합니다.
[Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.
[Kinesis.3] Kinesis 스트림에는 적절한 데이터 보존 기간이 있어야 합니다.
[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
[KMS.3] 실수로 삭제해서는 AWS KMS keys 안 됩니다.
[KMS.5] KMS 키는 공개적으로 액세스할 수 없어야 합니다.
[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.
[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.
[Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.
[Macie.1] Amazon Macie가 활성화되어야 합니다.
[Macie.2] Macie 민감한 데이터 자동 검색을 활성화해야 합니다.
[MQ.2] ActiveMQ 브로커는 감사 로그를 로 스트리밍해야 합니다. CloudWatch
[MQ.3] Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[MSK.1] MSK 클러스터는 브로커 노드 간에 전송 중에 암호화되어야 합니다.
[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.
[Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.
[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.
[Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
[Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.
[Neptune.7] Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 합니다.
[Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.
[NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.
[NetworkFirewall.3] 네트워크 방화벽 정책에는 연결된 규칙 그룹이 하나 이상 있어야 합니다.
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
[NetworkFirewall.6] 상태 비저장 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.
[NetworkFirewall.9] 네트워크 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[Opensearch.1] OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.
[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.
[Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
[Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.
[Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.
[Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
[PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.
[Route53.2] Route 53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.
[RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.
[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.
[RDS.6] RDS DB 인스턴스에 대한 Enhanced Monitoring을 구성해야 합니다.
[RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.
[RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.
[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.
[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.
[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.
[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.
[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.
[RDS.16] RDS DB 클러스터는 태그를 스냅샷에 복사하도록 구성되어야 합니다.
[RDS.17] RDS DB 인스턴스는 태그를 스냅샷에 복사하도록 구성되어야 합니다.
[RDS.18] RDS 인스턴스는 VPC에 배포되어야 합니다.
[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다.
[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.
[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.
[Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.
[Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
[Redshift.7] Redshift 클러스터는 향상된 VPC 라우팅을 사용해야 합니다.
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
[Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.
[Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다
[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.
[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다
[S3.5] S3 범용 버킷을 사용하려면 요청이 필요합니다. SSL
[S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다
[S3.12]는 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 사용해서는 ACLs 안 됩니다.
[S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다
[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.
[S3.24] S3 다중 리전 액세스 포인트에 공개 액세스 차단 설정이 활성화되어 있어야 합니다
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
[SageMaker.2] SageMaker AI 노트북 인스턴스는 사용자 지정 VPC에서 시작해야 합니다.
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
[SageMaker.5] SageMaker 모델은 인바운드 트래픽을 차단해야 합니다.
[SecretsManager.1] Secrets Manager 보안 암호에는 자동 교체가 활성화되어 있어야 합니다.
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 보안 암호가 성공적으로 교체되어야 합니다.
[SecretsManager.3] 미사용 Secrets Manager 보안 암호 제거
[SecretsManager.4] Secrets Manager 보안 암호는 지정된 일수 내에 교체되어야 합니다.
[ServiceCatalog.1] 서비스 카탈로그 포트폴리오는 AWS 조직 내에서만 공유해야 합니다.
[SNS.4] SNS 주제 액세스 정책은 퍼블릭 액세스를 허용해서는 안 됩니다.
[SQS.1] Amazon SQS 대기열은 저장 시 암호화되어야 합니다.
[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager
[SSM.2] 패치 설치 COMPLIANT 후 Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 여야 합니다.
[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 여야 합니다. COMPLIANT
[StepFunctions.1] Step Functions 상태 머신에 로깅이 켜져 있어야 합니다.
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.
[WAF.2] AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 합니다.
[WAF.3] AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.
[WAF.4] AWS WAF 클래식 리전 웹에는 규칙 또는 규칙 그룹이 하나 이상 있어야 ACLs 합니다.
[WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.
[WAF.7] AWS WAF 클래식 전역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.
[WAF.8] AWS WAF 클래식 글로벌 웹에는 규칙 또는 규칙 그룹이 하나 이상 있어야 ACLs 합니다.
[WAF.10] AWS WAF 웹에는 규칙 또는 규칙 그룹이 하나 이상 있어야 ACLs 합니다.
[WAF.12] AWS WAF 규칙에는 CloudWatch 지표가 활성화되어 있어야 합니다.
[WorkSpaces.1] WorkSpaces 사용자 볼륨은 저장 시 암호화해야 합니다.
[WorkSpaces.2] WorkSpaces 루트 볼륨은 저장 시 암호화해야 합니다.
