기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Security Hub 제어는 일부만 사용할 수 있습니다 AWS 리전. 이 페이지에서는 특정 리전에서 사용할 수 없는 컨트롤을 지정합니다. 로그인한 리전에서 컨트롤을 사용할 수 없는 경우 Security Hub 콘솔의 컨트롤 목록에 컨트롤이 표시되지 않습니다.
목차
미국 동부(버지니아 북부)
미국 동부(버지니아 북부) 리전에서는 다음 제어가 지원되지 않습니다.
미국 동부(오하이오)
미국 동부(오하이오) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
미국 서부(캘리포니아 북부)
미국 서부(캘리포니아 북부) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
미국 서부(오리건)
미국 서부(오레곤) 리전에서는 다음 제어가 지원되지 않습니다.
아프리카(케이프타운)
아프리카(케이프타운) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(홍콩)
아시아 태평양(홍콩) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(하이데라바드)
아시아 태평양(하이데라바드) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(자카르타)
아시아 태평양(자카르타) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(말레이시아)
아시아 태평양(말레이시아) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[Redshift.16] Redshift 클러스터 서브넷 그룹에는 여러 가용 영역의 서브넷이 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(멜버른)
아시아 태평양(멜버른) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(뭄바이)
아시아 태평양(뭄바이) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(오사카)
아시아 태평양(오사카) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.
-
[ELB.6] 애플리케이션, 게이트웨이, Network Load Balancers에는 삭제 보호가 활성화되어 있어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(서울)
아시아 태평양(서울) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(싱가포르)
아시아 태평양(싱가포르) 리전에서는 다음 제어가 지원되지 않습니다.
아시아 태평양(시드니)
아시아 태평양(시드니) 리전에서는 다음 제어가 지원되지 않습니다.
아시아 태평양(태국)
아시아 태평양(태국) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[Redshift.16] Redshift 클러스터 서브넷 그룹에는 여러 가용 영역의 서브넷이 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
아시아 태평양(도쿄)
아시아 태평양(도쿄) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
캐나다(중부)
캐나다(중부) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
캐나다 서부(캘거리)
캐나다 서부(캘거리) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[Redshift.16] Redshift 클러스터 서브넷 그룹에는 여러 가용 영역의 서브넷이 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
중국(베이징)
중국(베이징) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
중국(닝샤)
중국(닝샤) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(프랑크푸르트)
유럽(프랑크푸르트) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(아일랜드)
유럽(아일랜드) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(런던)
유럽(런던) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(밀라노)
유럽(밀라노) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(파리)
유럽(파리) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(스페인)
유럽(스페인) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(스톡홀름)
유럽(스톡홀름) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
유럽(취리히)
유럽(취리히) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
이스라엘(텔아비브)
이스라엘(텔아비브) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
멕시코(중부)
멕시코(중부) 리전에서는 다음 제어가 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[Redshift.16] Redshift 클러스터 서브넷 그룹에는 여러 가용 영역의 서브넷이 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
중동(바레인)
중동(바레인) 리전에서는 다음 제어가 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
중동(UAE)
중동(UAE) 리전에서는 다음 제어가 지원되지 않습니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
남아메리카(상파울루)
다음 제어는 남아메리카(상파울루) 리전에서는 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
AWS GovCloud(미국 동부)
다음 제어는 AWS GovCloud(미국 동부) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
AWS GovCloud(미국 서부)
다음 제어는 AWS GovCloud(미국 서부) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다.
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다.
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다.
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
