기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM용 표준 참조
AWS Security Hub CSPM에서 *보안 표준*은 규제 프레임워크, 업계 모범 사례 또는 회사 정책을 기반으로 하는 일련의 요구 사항입니다. Security Hub CSPM은 이러한 요구 사항을 제어에 매핑하고 제어에 대한 보안 검사를 실행하여 표준 요구 사항이 충족되고 있는지 평가합니다. 각 표준에는 여러 개의 제어가 포함됩니다.
Security Hub CSPM은 현재 다음 표준을 지원합니다.
+ **AWS 기본 보안 모범 사례** - AWS 및 업계 전문가가 개발한이 표준은 섹터 또는 규모에 관계없이 조직의 보안 모범 사례를 컴파일한 것입니다. 및 AWS 계정 리소스가 보안 모범 사례에서 벗어나는 시점을 감지하는 제어 세트를 제공합니다. 또한 보안 태세를 개선 및 유지하는 방법에 대한 규범적 지침을 제공합니다.
+ **AWS 리소스 태그 지정** - Security Hub CSPM에서 개발한이 표준을 통해 AWS 리소스에 태그가 있는지 확인할 수 있습니다. *태그*는 AWS 리소스의 메타데이터 역할을 하는 키-값 페어입니다. 태그를 사용하면 AWS 리소스를 식별, 분류, 관리 및 검색할 수 있습니다. 예를 들어, 태그를 사용하여 용도, 소유자 또는 환경 기준으로 리소스를 범주화할 수 있습니다.
+ **CIS AWS 파운데이션 벤치마크** - 인터넷 보안 센터(CIS)에서 개발한이 표준은에 대한 보안 구성 지침을 제공합니다 AWS. 기본, 테스트 가능 및 아키텍처에 구애받지 않는 설정을 중심으로 AWS 서비스 및 리소스의 하위 집합에 대한 보안 구성 지침 및 모범 사례 세트를 지정합니다. 지침에는 명확한 단계별 구현 및 평가 절차가 포함됩니다.
+ **NIST SP 800-53 개정 5** - 이 표준은 정보 시스템 및 중요 리소스의 기밀성, 무결성, 가용성을 보호하기 위한 NIST(국립 표준 기술 연구소) 요구 사항에 부합합니다. 관련 프레임워크는 일반적으로 미국 연방 기관 또는 정보 시스템과 협력하는 조직에 적용됩니다. 그러나 민간 조직도 이 요구 사항을 지침 프레임워크로 사용할 수 있습니다.
+ **NIST SP 800-171 개정 2** - 이 표준은 미국 연방 정부에 속하지 않는 시스템 및 조직에서 통제된 미분류 정보(CUI)의 기밀성을 보호하기 위한 NIST 보안 권장 사항 및 요구 사항에 부합합니다. *CUI*는 연방 정부의 분류 기준을 충족하지 않지만 민감한 정보로 간주되며 미국 연방 정부 또는 미국 연방 정부를 대신하여 기타 기관이 생성 또는 소유하는 정보입니다.
+ **PCI DSS** - 이 표준은 PCI SSC(보안 표준 위원회)에서 정의한 PCI DSS(지불 카드 산업 데이터 보안 표준) 규정 준수 프레임워크에 부합합니다. 이 프레임워크는 신용카드 및 직불카드 정보를 안전하게 처리하기 위한 일련의 규칙 및 지침을 제공하며, 일반적으로 카드 소지자 데이터를 저장, 처리 또는 전송하는 조직에 적용됩니다.
+ **서비스 관리형 표준 - AWS Control Tower**이 표준은 Security Hub CSPM에서 제공하는 탐지 제어를 구성하는 데 도움이 됩니다 AWS Control Tower.는 규범적 모범 사례에 따라 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 AWS Control Tower 제공합니다.
Security Hub CSPM 표준 및 제어는 규제 프레임워크 또는 감사 준수를 보장하지 않습니다. 대신, AWS 계정 및 리소스의 상태를 평가하고 모니터링하는 방법을 제공합니다. 비즈니스 요구 사항, 산업 또는 사용 사례와 관련된 각 표준을 활성화하는 것을 권장합니다.
개별 제어는 둘 이상의 표준에 적용될 수 있습니다. 여러 표준을 활성화하는 경우 통합 제어 조사 결과도 활성화하는 것이 좋습니다. 이렇게 하면 Security Hub CSPM은 제어가 복수의 표준에 적용되더라도 각 제어에 대해 단일 조사 결과를 생성합니다. 통합 제어 조사 결과를 활성화하지 않으면 Security Hub CSPM은 제어가 적용되는 활성화된 표준에 대해 각각 조사 결과를 생성합니다. 예를 들어 2개의 표준을 활성화하고 두 표준 모두에 제어가 적용되는 경우 각 표준에 대해 하나씩 2개의 개별 제어 조사 결과를 수신하게 됩니다. 통합 제어 조사 결과를 활성화하면 해당 제어에 대해 하나의 조사 결과만 수신됩니다. 자세한 내용은 [통합 제어 조사 결과](controls-findings-create-update.md#consolidated-control-findings) 단원을 참조하십시오.
**Topics**
+ [AWS 기본 보안 모범 사례](fsbp-standard.md)
+ [AWS 리소스 태그 지정](standards-tagging.md)
+ [CIS AWS 파운데이션 벤치마크](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 개정 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 개정 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [서비스 관리형 표준](service-managed-standards.md)
# AWS Security Hub CSPM의 기본 보안 모범 사례 표준
AWS 및 업계 전문가들이 개발한 AWS FSBP(기본 보안 모범 사례) 표준은 조직 부문 또는 규모에 관계없이 조직의 보안 모범 사례를 컴파일한 것입니다. 및 AWS 계정 리소스가 보안 모범 사례에서 벗어나는 시기를 감지하는 제어 세트를 제공합니다. 또한 조직의 보안 태세를 개선 및 유지하는 방법에 대한 규범적 지침을 제공합니다.
AWS Security Hub CSPM의 AWS 기본 보안 모범 사례 표준에는 AWS 계정 및 워크로드를 지속적으로 평가하고 보안 모범 사례에서 벗어나는 영역을 식별하는 데 도움이 되는 제어가 포함되어 있습니다. 제어에는 여러 AWS 서비스(으)로부터의 리소스에 대한 보안 모범 사례가 포함됩니다. 각 제어에는 제어가 적용되는 보안 기능을 반영하는 범주가 할당됩니다. 범주 목록 및 추가 세부 정보는 [제어 범주](control-categories.md) 섹션을 참조하세요.
## 표준에 적용되는 제어
다음 목록은 기본 AWS 보안 모범 사례 표준(v1.0.0)에 AWS 적용되는 Security Hub CSPM 제어를 지정합니다. 제어의 세부 정보를 검토하려면 해당 제어를 선택하세요.
[[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1)
[[ACM.1] 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.](acm-controls.md#acm-1)
[[ACM.2] ACM에서 관리하는 RSA 인증서는 최소 2,048비트의 키 길이를 사용해야 합니다.](acm-controls.md#acm-2)
[[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.](apigateway-controls.md#apigateway-1)
[[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.](apigateway-controls.md#apigateway-2)
[[APIGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.](apigateway-controls.md#apigateway-3)
[[APIGateway.4] API 게이트웨이는 WAF 웹 ACL과 연결되어야 합니다.](apigateway-controls.md#apigateway-4)
[[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.](apigateway-controls.md#apigateway-5)
[[APIGateway.8] API 게이트웨이 경로는 인증 유형을 지정해야 합니다.](apigateway-controls.md#apigateway-8)
[[APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 합니다.](apigateway-controls.md#apigateway-9)
[[APIGateway.10] API Gateway V2 통합은 프라이빗 연결에 HTTPS를 사용해야 합니다.](apigateway-controls.md#apigateway-10)
[[AppSync.1] AWS AppSync API 캐시는 저장 시 암호화되어야 합니다.](appsync-controls.md#appsync-1)
[[AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.](appsync-controls.md#appsync-2)
[[AppSync.5] AWS AppSync GraphQL APIs API 키로 인증해서는 안 됩니다.](appsync-controls.md#appsync-5)
[[AppSync.6] AWS AppSync API 캐시는 전송 중에 암호화되어야 합니다.](appsync-controls.md#appsync-6)
[[Athena.4] Athena 작업 그룹에 로깅이 활성화되어 있어야 합니다.](athena-controls.md#athena-4)
[[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.](autoscaling-controls.md#autoscaling-1)
[[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.](autoscaling-controls.md#autoscaling-2)
[[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.](autoscaling-controls.md#autoscaling-5)
[[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.](autoscaling-controls.md#autoscaling-6)
[[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.](autoscaling-controls.md#autoscaling-9)
[[Backup.1] AWS Backup 복구 지점은 저장 시 암호화되어야 합니다.](backup-controls.md#backup-1)
[[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.](cloudformation-controls.md#cloudformation-3)
[[CloudFormation.4] CloudFormation 스택에는 연결된 서비스 역할이 있어야 합니다.](cloudformation-controls.md#cloudformation-4)
[[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-1)
[[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.](cloudfront-controls.md#cloudfront-3)
[[CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-4)
[[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] CloudFront 배포판에는 WAF가 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-6)
[[CloudFront.7] CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.](cloudfront-controls.md#cloudfront-7)
[[CloudFront.8] CloudFront 배포는 SNI를 사용하여 HTTPS 요청을 처리해야 합니다.](cloudfront-controls.md#cloudfront-8)
[[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.](cloudfront-controls.md#cloudfront-9)
[[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.](cloudfront-controls.md#cloudfront-12)
[[CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.](cloudfront-controls.md#cloudfront-13)
[[CloudFront.15] CloudFront 배포는 권장 TLS 보안 정책을 사용해야 합니다](cloudfront-controls.md#cloudfront-15)
[[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다](cloudfront-controls.md#cloudfront-16)
[[CloudFront.17] CloudFront 배포는 서명된 URLs 및 쿠키에 신뢰할 수 있는 키 그룹을 사용해야 합니다.](cloudfront-controls.md#cloudfront-17)
[[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5)
[[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.](codebuild-controls.md#codebuild-3)
[[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.](codebuild-controls.md#codebuild-4)
[[CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.](codebuild-controls.md#codebuild-7)
[[Cognito.2] Cognito ID 풀은 인증되지 않은 ID를 허용하면 안 됩니다](cognito-controls.md#cognito-2)
[[Cognito.3] Cognito 사용자 풀의 암호 정책은 강력한 구성을 사용해야 합니다](cognito-controls.md#cognito-3)
[[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.](cognito-controls.md#cognito-4)
[[Cognito.5] Cognito 사용자 풀에 대해 MFA를 활성화해야 합니다.](cognito-controls.md#cognito-5)
[[Cognito.6] Cognito 사용자 풀에는 삭제 방지 기능이 활성화되어 있어야 합니다.](cognito-controls.md#cognito-6)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다](connect-controls.md#connect-2)
[[DataFirehose.1] Firehose 전송 스트림은 저장 시 암호화해야 합니다.](datafirehose-controls.md#datafirehose-1)
[[DataSync.1] DataSync 작업에는 로깅이 활성화되어 있어야 합니다.](datasync-controls.md#datasync-1)
[[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.](dms-controls.md#dms-1)
[[DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](dms-controls.md#dms-6)
[[DMS.7] 대상 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-7)
[[DMS.8] 소스 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-8)
[[DMS.9] DMS 엔드포인트는 SSL을 사용해야 합니다.](dms-controls.md#dms-9)
[[DMS.10] Neptune 데이터베이스용 DMS 엔드포인트에는 IAM 인증이 활성화되어 있어야 합니다.](dms-controls.md#dms-10)
[[DMS.11] MongoDB용 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.](dms-controls.md#dms-11)
[[DMS.12] Redis OSS용 DMS 엔드포인트에는 TLS가 활성화되어 있어야 합니다.](dms-controls.md#dms-12)
[[DMS.13] DMS 복제 인스턴스는 여러 가용 영역을 사용하도록 구성되어야 합니다](dms-controls.md#dms-13)
[[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.](documentdb-controls.md#documentdb-1)
[[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.](documentdb-controls.md#documentdb-4)
[[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](documentdb-controls.md#documentdb-5)
[[DocumentDB.6] Amazon DocumentDB 클러스터는 전송 중 암호화되어야 합니다](documentdb-controls.md#documentdb-6)
[[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.](dynamodb-controls.md#dynamodb-1)
[[DynamoDB.2] DynamoDB 테이블에는 시점 복구가 활성화되어 있어야 합니다.](dynamodb-controls.md#dynamodb-2)
[[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.](dynamodb-controls.md#dynamodb-3)
[[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.](dynamodb-controls.md#dynamodb-6)
[[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다](dynamodb-controls.md#dynamodb-7)
[[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.](ec2-controls.md#ec2-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.3] 연결된 Amazon EBS 볼륨은 저장 시 암호화되어야 합니다.](ec2-controls.md#ec2-3)
[[EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.](ec2-controls.md#ec2-4)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7)
[[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8)
[[EC2.9] Amazon EC2 인스턴스에는 퍼블릭 IPv4 주소가 없어야 합니다.](ec2-controls.md#ec2-9)
[[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.](ec2-controls.md#ec2-10)
[[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.](ec2-controls.md#ec2-15)
[[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.](ec2-controls.md#ec2-16)
[[EC2.17] Amazon EC2 인스턴스는 여러 ENI를 사용해서는 안 됩니다.](ec2-controls.md#ec2-17)
[[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.](ec2-controls.md#ec2-18)
[[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.](ec2-controls.md#ec2-19)
[[EC2.20] a AWS Site-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.](ec2-controls.md#ec2-20)
[[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
[[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.](ec2-controls.md#ec2-23)
[[EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.](ec2-controls.md#ec2-24)
[[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.](ec2-controls.md#ec2-25)
[[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-51)
[[EC2.55] VPC는 ECR API용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-55)
[[EC2.56] VPC는 Docker Registry용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-56)
[[EC2.57] VPC는 Systems Manager용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-57)
[[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-58)
[[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-60)
[[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-170)
[[EC2.171] EC2 VPN 연결에는 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-171)
[[EC2.172] EC2 VPC 퍼블릭 액세스 차단 설정이 인터넷 게이트웨이 트래픽을 차단해야 합니다](ec2-controls.md#ec2-172)
[[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다](ec2-controls.md#ec2-173)
[[EC2.180] EC2 네트워크 인터페이스에는 소스/대상 확인이 활성화되어 있어야 합니다](ec2-controls.md#ec2-180)
[[EC2.181] EC2 시작 템플릿은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다](ec2-controls.md#ec2-181)
[[EC2.182] Amazon EBS 스냅샷은 공개적으로 액세스할 수 없어야 합니다.](ec2-controls.md#ec2-182)
[[ECR.1] ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다.](ecr-controls.md#ecr-1)
[[ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.](ecr-controls.md#ecr-2)
[[ECR.3] ECR 리포지토리에는 수명 주기 정책이 하나 이상 구성되어 있어야 합니다.](ecr-controls.md#ecr-3)
[[ECS.1] Amazon ECS 태스크 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다](ecs-controls.md#ecs-1)
[[ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다.](ecs-controls.md#ecs-2)
[[ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.](ecs-controls.md#ecs-3)
[[ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행해야 합니다.](ecs-controls.md#ecs-4)
[[ECS.5] ECS 태스크 정의는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되도록 컨테이너를 구성해야 합니다.](ecs-controls.md#ecs-5)
[[ECS.8] 암호는 컨테이너 환경 변수로 전달되어서는 안 됩니다.](ecs-controls.md#ecs-8)
[[ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.](ecs-controls.md#ecs-9)
[[ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.](ecs-controls.md#ecs-10)
[[ECS.12] ECS 클러스터는 Container Insights를 사용해야 합니다.](ecs-controls.md#ecs-12)
[[ECS.16] ECS 작업 세트는 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.](ecs-controls.md#ecs-16)
[[ECS.18] ECS 작업 정의는 EFS 볼륨에 대해 전송 중 암호화를 사용해야 합니다.](ecs-controls.md#ecs-18)
[[ECS.19] ECS 용량 공급자는 관리형 종료 방지 기능이 활성화되어 있어야 합니다.](ecs-controls.md#ecs-19)
[[ECS.20] ECS 작업 정의는 Linux 컨테이너 정의에서 루트가 아닌 사용자를 구성해야 합니다.](ecs-controls.md#ecs-20)
[[ECS.21] ECS 작업 정의는 Windows 컨테이너 정의에서 관리자가 아닌 사용자를 구성해야 합니다.](ecs-controls.md#ecs-21)
[[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS](efs-controls.md#efs-1)
[[EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.](efs-controls.md#efs-2)
[[EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.](efs-controls.md#efs-3)
[[EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.](efs-controls.md#efs-4)
[[EFS.6] EFS 탑재 대상은 시작 시 퍼블릭 IP 주소를 할당하는 서브넷과 연결되어서는 안 됩니다](efs-controls.md#efs-6)
[[EFS .7] EFS 파일 시스템에는 자동 백업이 활성화되어 있어야 합니다.](efs-controls.md#efs-7)
[[EFS .8] EFS 파일 시스템은 저장 시 암호화해야 합니다.](efs-controls.md#efs-8)
[[EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.](eks-controls.md#eks-1)
[[EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다.](eks-controls.md#eks-2)
[[EKS.3] EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다.](eks-controls.md#eks-3)
[[EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](eks-controls.md#eks-8)
[[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-1)
[[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다](elasticache-controls.md#elasticache-2)
[[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-3)
[[ElastiCache.4] ElastiCache 복제 그룹은 저장 시 암호화해야 합니다.](elasticache-controls.md#elasticache-4)
[[ElastiCache.5] ElastiCache 복제 그룹은 전송 중 암호화되어야 합니다.](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-6)
[[ElastiCache.7] ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.](elasticache-controls.md#elasticache-7)
[[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-1)
[[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.](elb-controls.md#elb-1)
[[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager](elb-controls.md#elb-2)
[[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.](elb-controls.md#elb-4)
[[ELB.5] 애플리케이션 및 Classic Load Balancer 로깅이 활성화되어야 합니다.](elb-controls.md#elb-5)
[[ELB.6] 애플리케이션, 게이트웨이, Network Load Balancers에는 삭제 보호가 활성화되어 있어야 합니다.](elb-controls.md#elb-6)
[[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.](elb-controls.md#elb-7)
[[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박이 있는 사전 정의된 보안 정책을 사용해야 합니다.](elb-controls.md#elb-8)
[[ELB.9] Classic Load Balancer에는 교차 영역 로드 밸런싱이 활성화되어 있어야 합니다.](elb-controls.md#elb-9)
[[ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.](elb-controls.md#elb-10)
[[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.](elb-controls.md#elb-12)
[[ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.](elb-controls.md#elb-13)
[[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.](elb-controls.md#elb-14)
[[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다](elb-controls.md#elb-17)
[[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다](elb-controls.md#elb-18)
[[ELB.21] 애플리케이션 및 Network Load Balancer 대상 그룹은 암호화된 상태 확인 프로토콜을 사용해야 합니다.](elb-controls.md#elb-21)
[[ELB.22] ELB 대상 그룹은 암호화된 전송 프로토콜을 사용해야 합니다.](elb-controls.md#elb-22)
[[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.](emr-controls.md#emr-1)
[[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.](emr-controls.md#emr-2)
[[EMR.3] Amazon EMR 보안 구성은 저장 시 암호화되어야 합니다](emr-controls.md#emr-3)
[[EMR.4] Amazon EMR 보안 구성은 전송 중 암호화되어야 합니다](emr-controls.md#emr-4)
[[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](es-controls.md#es-1)
[[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](es-controls.md#es-2)
[[ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.](es-controls.md#es-3)
[[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.](es-controls.md#es-4)
[[ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](es-controls.md#es-5)
[[ES.6] Elasticsearch 도메인에는 최소 세 개의 데이터 노드가 있어야 합니다.](es-controls.md#es-6)
[[ES.7] Elasticsearch 도메인은 최소 3개의 전용 프라이머리 노드로 구성해야 합니다.](es-controls.md#es-7)
[[ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다.](es-controls.md#es-8)
[[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.](eventbridge-controls.md#eventbridge-3)
[[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.](fsx-controls.md#fsx-1)
[[FSx.2] FSx for Lustre 파일 시스템이 백업에 태그를 복사하도록 구성되어 있어야 합니다.](fsx-controls.md#fsx-2)
[[FSx.3] FSx for OpenZFS 파일 시스템에는 다중 AZ 배포를 구성해야 합니다.](fsx-controls.md#fsx-3)
[[FSx.4] FSx for NetApp ONTAP 파일 시스템에는 다중 AZ 배포를 구성해야 합니다](fsx-controls.md#fsx-4)
[[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다](fsx-controls.md#fsx-5)
[[Glue.3] AWS Glue 기계 학습 변환은 저장 시 암호화되어야 합니다.](glue-controls.md#glue-3)
[[Glue.4] AWS Glue 스파크 작업은의 지원되는 버전에서 실행되어야 합니다. AWS Glue](glue-controls.md#glue-4)
[[GuardDuty.1] GuardDuty를 활성화해야 합니다.](guardduty-controls.md#guardduty-1)
[[GuardDuty.5] GuardDuty EKS 감사 로그 모니터링을 활성화해야 합니다.](guardduty-controls.md#guardduty-5)
[[GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] GuardDuty EKS 런타임 모니터링을 활성화해야 합니다.](guardduty-controls.md#guardduty-7)
[[GuardDuty.8] EC2에 대한 GuardDuty 맬웨어 보호가 활성화되어야 합니다.](guardduty-controls.md#guardduty-8)
[[GuardDuty.9] GuardDuty RDS 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-9)
[[GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-10)
[[GuardDuty.11] GuardDuty 런타임 모니터링을 활성화해야 합니다](guardduty-controls.md#guardduty-11)
[[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다](guardduty-controls.md#guardduty-12)
[[GuardDuty.13] GuardDuty EC2 런타임 모니터링을 활성화해야 합니다](guardduty-controls.md#guardduty-13)
[[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
[[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.](iam-controls.md#iam-7)
[[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
[[IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.](iam-controls.md#iam-21)
[[Inspector.1] Amazon Inspector EC2 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-1)
[[Inspector.2] Amazon Inspector ECR 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-2)
[[Inspector.3] Amazon Inspector Lambda 코드 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-3)
[[Inspector.4] Amazon Inspector Lambda 표준 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-4)
[[Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.](kinesis-controls.md#kinesis-1)
[[Kinesis.3] Kinesis 스트림에는 적절한 데이터 보존 기간이 있어야 합니다.](kinesis-controls.md#kinesis-3)
[[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.](kms-controls.md#kms-1)
[[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.](kms-controls.md#kms-2)
[[KMS.3] 실수로 삭제해서는 AWS KMS keys 안 됩니다.](kms-controls.md#kms-3)
[[KMS.5] KMS 키는 공개적으로 액세스할 수 없어야 합니다.](kms-controls.md#kms-5)
[[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.](lambda-controls.md#lambda-1)
[[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.](lambda-controls.md#lambda-2)
[[Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.](lambda-controls.md#lambda-5)
[[Macie.1] Amazon Macie가 활성화되어야 합니다.](macie-controls.md#macie-1)
[[Macie.2] Macie 민감한 데이터 자동 검색을 활성화해야 합니다.](macie-controls.md#macie-2)
[[MQ.2] ActiveMQ 브로커는 감사 로그를 CloudWatch로 스트리밍해야 합니다.](mq-controls.md#mq-2)
[[MQ.3] Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](mq-controls.md#mq-3)
[[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.](msk-controls.md#msk-1)
[[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.](msk-controls.md#msk-3)
[[MSK.4] MSK 클러스터에는 퍼블릭 액세스가 비활성화되어 있어야 합니다](msk-controls.md#msk-4)
[[MSK.5] MSK 커넥터에는 로깅이 활성화되어 있어야 합니다](msk-controls.md#msk-5)
[[MSK.6] MSK 클러스터는 인증되지 않은 액세스를 비활성화해야 합니다](msk-controls.md#msk-6)
[[Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.](neptune-controls.md#neptune-1)
[[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](neptune-controls.md#neptune-2)
[[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.](neptune-controls.md#neptune-3)
[[Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-4)
[[Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-5)
[[Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.](neptune-controls.md#neptune-6)
[[Neptune.7] Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-7)
[[Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.](neptune-controls.md#neptune-8)
[[NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.](networkfirewall-controls.md#networkfirewall-2)
[[NetworkFirewall.3] 네트워크 방화벽 정책에는 연결된 규칙 그룹이 하나 이상 있어야 합니다.](networkfirewall-controls.md#networkfirewall-3)
[[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.](networkfirewall-controls.md#networkfirewall-4)
[[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.](networkfirewall-controls.md#networkfirewall-5)
[[NetworkFirewall.6] 상태 비저장 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.](networkfirewall-controls.md#networkfirewall-6)
[[NetworkFirewall.9] 네트워크 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.](networkfirewall-controls.md#networkfirewall-9)
[[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다](networkfirewall-controls.md#networkfirewall-10)
[[Opensearch.1] OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-1)
[[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](opensearch-controls.md#opensearch-2)
[[Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.](opensearch-controls.md#opensearch-3)
[[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.](opensearch-controls.md#opensearch-4)
[[Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-5)
[[Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.](opensearch-controls.md#opensearch-6)
[[Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-7)
[[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.](opensearch-controls.md#opensearch-8)
[[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.](opensearch-controls.md#opensearch-10)
[[PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.](pca-controls.md#pca-1)
[[Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.](route53-controls.md#route53-2)
[[RDS.1] RDS 스냅샷은 비공개여야 합니다.](rds-controls.md#rds-1)
[[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
[[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3)
[[RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.](rds-controls.md#rds-4)
[[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.](rds-controls.md#rds-5)
[[RDS.6] RDS DB 인스턴스에 대한 Enhanced Monitoring을 구성해야 합니다.](rds-controls.md#rds-6)
[[RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](rds-controls.md#rds-7)
[[RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.](rds-controls.md#rds-8)
[[RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-9)
[[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.](rds-controls.md#rds-10)
[[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.](rds-controls.md#rds-11)
[[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.](rds-controls.md#rds-12)
[[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13)
[[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.](rds-controls.md#rds-14)
[[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.](rds-controls.md#rds-15)
[[RDS.16] Aurora DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다.](rds-controls.md#rds-16)
[[RDS.17] RDS DB 인스턴스는 태그를 스냅샷에 복사하도록 구성되어야 합니다.](rds-controls.md#rds-17)
[[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-19)
[[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-20)
[[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-21)
[[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-22)
[[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다.](rds-controls.md#rds-23)
[[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-24)
[[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-25)
[[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.](rds-controls.md#rds-27)
[[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-34)
[[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](rds-controls.md#rds-35)
[[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-36)
[[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.](rds-controls.md#rds-37)
[[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다](rds-controls.md#rds-40)
[[RDS.41] RDS for SQL Server DB 인스턴스는 전송 중 암호화되어야 합니다.](rds-controls.md#rds-41)
[[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다](rds-controls.md#rds-42)
[[RDS.43] RDS DB 프록시는 연결에 TLS 암호화를 요구해야 합니다](rds-controls.md#rds-43)
[[RDS.44] RDS for MariaDB DB 인스턴스는 전송 중 암호화되어야 합니다](rds-controls.md#rds-44)
[[RDS.45] Aurora MySQL DB 클러스터에는 감사 로깅이 활성화되어 있어야 합니다](rds-controls.md#rds-45)
[[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다](rds-controls.md#rds-46)
[[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다](rds-controls.md#rds-47)
[[RDS.48] RDS for MySQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다](rds-controls.md#rds-48)
[[RDS.50] RDS DB 클러스터에는 충분한 백업 보존 기간이 설정되어 있어야 합니다.](rds-controls.md#rds-50)
[[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.](redshift-controls.md#redshift-1)
[[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.](redshift-controls.md#redshift-2)
[[Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.](redshift-controls.md#redshift-3)
[[Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](redshift-controls.md#redshift-4)
[[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.](redshift-controls.md#redshift-6)
[[Redshift.7] Redshift 클러스터는 향상된 VPC 라우팅을 사용해야 합니다](redshift-controls.md#redshift-7)
[[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.](redshift-controls.md#redshift-8)
[[Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다](redshift-controls.md#redshift-10)
[[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.](redshift-controls.md#redshift-15)
[[Redshift.18] Redshift 클러스터에는 다중 AZ 배포가 활성화되어 있어야 합니다](redshift-controls.md#redshift-18)
[[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다](redshiftserverless-controls.md#redshiftserverless-1)
[[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다](redshiftserverless-controls.md#redshiftserverless-2)
[[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다](redshiftserverless-controls.md#redshiftserverless-3)
[[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다](redshiftserverless-controls.md#redshiftserverless-5)
[[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다](redshiftserverless-controls.md#redshiftserverless-6)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.](s3-controls.md#s3-2)
[[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다](s3-controls.md#s3-3)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정](s3-controls.md#s3-6)
[[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
[[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다](s3-controls.md#s3-9)
[[S3.12] S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다](s3-controls.md#s3-12)
[[S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다](s3-controls.md#s3-13)
[[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.](s3-controls.md#s3-19)
[[S3.24] S3 다중 리전 액세스 포인트에 공개 액세스 차단 설정이 활성화되어 있어야 합니다](s3-controls.md#s3-24)
[[S3.25] S3 디렉터리 버킷에는 수명 주기 구성이 있어야 합니다](s3-controls.md#s3-25)
[[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.](sagemaker-controls.md#sagemaker-1)
[[SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정 VPC에서 시작해야 합니다.](sagemaker-controls.md#sagemaker-2)
[[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.](sagemaker-controls.md#sagemaker-3)
[[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.](sagemaker-controls.md#sagemaker-4)
[[SageMaker.5] SageMaker 모델에는 네트워크 격리가 활성화되어 있어야 합니다](sagemaker-controls.md#sagemaker-5)
[[SageMaker.8] SageMaker 노트북 인스턴스는 지원되는 플랫폼에서 실행되어야 합니다](sagemaker-controls.md#sagemaker-8)
[[SageMaker.9] SageMaker 데이터 품질 작업 정의에는 컨테이너 간 트래픽 암호화가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-9)
[[SageMaker.10] SageMaker 모델 설명 가능성 작업 정의에는 컨테이너 간 트래픽 암호화가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-10)
[[SageMaker.11] SageMaker 데이터 품질 작업 정의에는 네트워크 격리가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-11)
[[SageMaker.12] SageMaker 모델 편향 작업 정의에는 네트워크 격리가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-12)
[[SageMaker.13] SageMaker 모델 품질 작업 정의에는 컨테이너 간 트래픽 암호화가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-13)
[[SageMaker.14] SageMaker 모니터링 일정에는 네트워크 격리가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-14)
[[SageMaker.15] SageMaker 모델 편향 작업 정의에는 컨테이너 간 트래픽 암호화가 활성화되어 있어야 합니다.](sagemaker-controls.md#sagemaker-15)
[[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.3] 사용하지 않는 Secrets Manager 암호 삭제](secretsmanager-controls.md#secretsmanager-3)
[[SecretsManager.4] Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-4)
[[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS 조직 내에서만 공유해야 합니다.](servicecatalog-controls.md#servicecatalog-1)
[[SES.3] SES 구성 세트에는 이메일 전송을 위한 TLS가 활성화되어 있어야 합니다.](ses-controls.md#ses-3)
[[SNS.4] SNS 주제 액세스 정책은 퍼블릭 액세스를 허용해서는 안 됩니다.](sns-controls.md#sns-4)
[[SQS.1] Amazon SQS 대기열은 저장 시 암호화되어야 합니다.](sqs-controls.md#sqs-1)
[[SQS.3] SQS 대기열 액세스 정책은 퍼블릭 액세스를 허용해서는 안 됩니다](sqs-controls.md#sqs-3)
[[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-3)
[[SSM.4] SSM 문서는 공개해서는 안 됩니다.](ssm-controls.md#ssm-4)
[[SSM.6] SSM Automation에는 CloudWatch 로깅이 활성화되어 있어야 합니다](ssm-controls.md#ssm-6)
[[SSM.7] SSM 문서에는 퍼블릭 공유 차단 설정이 활성화되어 있어야 합니다](ssm-controls.md#ssm-7)
[[StepFunctions.1] Step Functions 상태 머신에는 로깅이 켜져 있어야 합니다.](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.](transfer-controls.md#transfer-2)
[[Transfer.3] Transfer Family 커넥터에는 로깅이 활성화되어 있어야 합니다](transfer-controls.md#transfer-3)
[[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-1)
[[WAF.2] AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 합니다.](waf-controls.md#waf-2)
[[WAF.3] AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.](waf-controls.md#waf-3)
[[WAF.4] AWS WAF 클래식 리전 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-4)
[[WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.](waf-controls.md#waf-6)
[[WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.](waf-controls.md#waf-7)
[[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-8)
[[WAF.10] AWS WAF 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-10)
[[WAF.12] AWS WAF 규칙에는 CloudWatch 지표가 활성화되어 있어야 합니다.](waf-controls.md#waf-12)
[[WorkSpaces.1] WorkSpaces 사용자 볼륨은 저장 시 암호화해야 합니다.](workspaces-controls.md#workspaces-1)
[[WorkSpaces.2] WorkSpaces 루트 볼륨은 저장 시 암호화해야 합니다.](workspaces-controls.md#workspaces-2)
# AWS Security Hub CSPM의 리소스 태그 지정 표준
AWS Security Hub CSPM에서 개발한 AWS 리소스 태그 지정 표준을 통해 AWS 리소스에 태그가 누락되었는지 확인할 수 있습니다. *태그*는 AWS 리소스를 구성하기 위한 메타데이터 역할을 하는 키-값 페어입니다. 대부분의 AWS 리소스에는 리소스를 생성하는 동안 또는 리소스를 생성한 후에 태그를 추가할 수 있는 옵션이 있습니다. 리소스의 예로는 Amazon CloudFront 배포, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, AWS Secrets Manager의 시크릿 등이 있습니다. 태그는 AWS 리소스를 관리, 식별, 구성, 검색 및 필터링하는 데 도움이 될 수 있습니다.
각 태그는 두 부분으로 구성됩니다.
+ 태그 키 - 예: `CostCenter`, `Environment` 또는 `Project`. 태그 키는 대소문자를 구별합니다.
+ 태그 값 - 예: `111122223333` 또는 `Production`. 태그 키처럼 태그 값은 대/소문자를 구별합니다.
태그를 사용하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. AWS 리소스에 태그를 추가하는 방법에 대한 자세한 내용은 [리소스 태그 지정 AWS 및 태그 편집기 사용 설명서를](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) 참조하세요.
Security Hub CSPM의 AWS 리소스 태그 지정 표준에 적용되는 각 제어에 대해 지원되는 파라미터를 선택적으로 사용하여 제어에서 확인할 태그 키를 지정할 수 있습니다. 태그 키를 지정하지 않으면 제어는 하나 이상의 태그 키가 존재하는지만 확인하고 리소스에 태그 키가 없는 경우 제어가 실패합니다.
AWS 리소스 태그 지정 표준을 활성화하기 전에에서 리소스 기록을 활성화하고 구성하는 것이 중요합니다 AWS Config. 리소스 기록을 구성할 때 표준에 적용되는 제어에서 확인하는 모든 유형의 AWS 리소스에 대해서도 리소스 기록을 활성화해야 합니다. 그렇지 않으면 Security Hub CSPM이 적절한 리소스를 평가하고 표준에 적용되는 제어에 대한 정확한 조사 결과를 생성하지 못할 수 있습니다. 기록할 리소스 유형의 목록을 포함하여 자세한 내용은 [제어 조사 결과에 필요한 AWS Config 리소스](controls-config-resources.md) 섹션을 참조하세요.
AWS 리소스 태그 지정 표준을 활성화하면 표준에 적용되는 제어에 대한 결과 수신을 시작합니다. Security Hub CSPM이 다른 활성화된 표준에 적용되는 제어와 동일한 AWS Config 서비스 연결 규칙을 사용하는 제어에 대한 조사 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 단원을 참조하십시오.
AWS 리소스 태그 지정 표준의 Amazon 리소스 이름(ARN)은 입니다. `arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`여기서 *region*은 해당의 리전 코드입니다 AWS 리전. 또한 Security Hub CSPM API의 [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 작업을 사용하여 현재 활성화된 표준의 ARN을 검색할 수도 있습니다.
**참고**
아시아 태평양(뉴질랜드) 및 아시아 태평양(타이베이) 리전에서는 [AWS 리소스 태그 지정 표준](#standards-tagging)을 사용할 수 없습니다.
## 표준에 적용되는 제어
다음 목록은 AWS 리소스 태그 지정 표준(v1.0.0)에 적용되는 AWS Security Hub CSPM 제어를 지정합니다. 제어의 세부 정보를 검토하려면 해당 제어를 선택하세요.
+ [[ACM.3] ACM 인증서에 태그를 지정해야 합니다.](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify 앱에 태그를 지정해야 합니다](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify 브랜치에 태그를 지정해야 합니다](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig 애플리케이션에 태그를 지정해야 합니다.](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig 구성 프로파일에 태그를 지정해야 합니다.](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig 환경에 태그를 지정해야 합니다.](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig 확장 연결에 태그를 지정해야 합니다.](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Amazon AppFlow 흐름에 태그를 지정해야 합니다](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner 서비스에 태그를 지정해야 합니다](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC 커넥터에 태그를 지정해야 합니다](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs 태그를 지정해야 합니다.](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena 데이터 카탈로그에 태그를 지정해야 합니다.](athena-controls.md#athena-2)
+ [[Athena.3] Athena 작업 그룹에 태그를 지정해야 합니다.](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling 그룹에 태그를 지정해야 합니다.](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup 복구 지점에 태그를 지정해야 합니다.](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup 볼트에 태그를 지정해야 합니다.](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup 보고서 계획에 태그를 지정해야 합니다.](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup 백업 계획에 태그를 지정해야 합니다.](backup-controls.md#backup-5)
+ [[Batch.1] 배치 작업 대기열에 태그를 지정해야 합니다](batch-controls.md#batch-1)
+ [[Batch.2] 배치 예약 정책에 태그를 지정해야 합니다](batch-controls.md#batch-2)
+ [[Batch.3] 배치 컴퓨팅 환경에 태그를 지정해야 합니다](batch-controls.md#batch-3)
+ [[Batch.4] 관리형 배치 컴퓨팅 환경의 컴퓨팅 리소스 속성에 태그를 지정해야 합니다](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation 스택에 태그를 지정해야 합니다.](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront 배포에 태그를 지정해야 합니다.](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail 추적에는 태그를 지정해야 합니다.](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1]CodeArtifact 리포지토리에 태그를 지정해야 합니다.](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync 태스크에 태그를 지정해야 합니다](datasync-controls.md#datasync-2)
+ [[Detective.1] Detective 동작 그래프에 태그를 지정해야 합니다.](detective-controls.md#detective-1)
+ [[DMS.2] DMS 인증서에 태그를 지정해야 합니다.](dms-controls.md#dms-2)
+ [[DMS.3] DMS 이벤트 구독에 태그를 지정해야 합니다.](dms-controls.md#dms-3)
+ [[DMS.4] DMS 복제 인스턴스에 태그를 지정해야 합니다.](dms-controls.md#dms-4)
+ [[DMS.5] DMS 복제 서브넷 그룹에 태그를 지정해야 합니다.](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB 테이블에 태그를 지정해야 합니다.](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway Attachment에 태그를 지정해야 합니다.](ec2-controls.md#ec2-33)
+ [[EC2.34] EC2 전송 게이트웨이 라우팅 테이블에 태그를 지정해야 합니다.](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2 네트워크 인터페이스에 태그를 지정해야 합니다.](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2 고객 게이트웨이에 태그를 지정해야 합니다.](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2 탄력적 IP 주소에 태그를 지정해야 합니다.](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2 인스턴스에 태그를 지정해야 합니다.](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2 인터넷 게이트웨이에 태그를 지정해야 합니다.](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2 NAT 게이트웨이에 태그를 지정해야 합니다.](ec2-controls.md#ec2-40)
+ [[EC2.41] EC2 네트워크 ACL에 태그를 지정해야 합니다.](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2 라우팅 테이블에 태그를 지정해야 합니다.](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2 보안 그룹에 태그를 지정해야 합니다.](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2 서브넷에 태그를 지정해야 합니다.](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2 볼륨에 태그를 지정해야 합니다.](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPC에 태그를 지정해야 합니다.](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC 엔드포인트 서비스에 태그를 지정해야 합니다.](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC 흐름 로그에 태그를 지정해야 합니다.](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC 피어링 연결에 태그를 지정해야 합니다.](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2 VPN 게이트웨이에 태그를 지정해야 합니다.](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2 전송 게이트웨이에 태그를 지정해야 합니다.](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2 DHCP 옵션 세트에 태그를 지정해야 합니다](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2 시작 템플릿에 태그를 지정해야 합니다](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2 접두사 목록에 태그를 지정해야 합니다](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2 트래픽 미러 세션에 태그를 지정해야 합니다](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2 트래픽 미러 필터에 태그를 지정해야 합니다](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2 트래픽 미러 대상에 태그를 지정해야 합니다](ec2-controls.md#ec2-179)
+ [[ECR.4] ECR 퍼블릭 리포지토리에 태그를 지정해야 합니다.](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS 서비스에 태그를 지정해야 합니다](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS 클러스터에 태그를 지정해야 합니다.](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS 작업 정의에 태그를 지정해야 합니다.](ecs-controls.md#ecs-15)
+ [[EFS .5] EFS 액세스 포인트에 태그를 지정해야 합니다.](efs-controls.md#efs-5)
+ [[EKS.6] EKS 클러스터에 태그를 지정해야 합니다.](eks-controls.md#eks-6)
+ [[EKS.7] EKS ID 제공업체 구성에 태그를 지정해야 합니다.](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch 도메인에 태그를 지정해야 합니다.](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Amazon Fraud Detector 레이블에 태그를 지정해야 합니다](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Amazon Fraud Detector 결과에 태그를 지정해야 합니다](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector 변수에 태그를 지정해야 합니다](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue 작업에 태그를 지정해야 합니다.](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty 필터에 태그를 지정해야 합니다.](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets에 태그를 지정해야 합니다.](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty 탐지기에 태그를 지정해야 합니다.](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer 분석기에 태그를 지정해야 합니다.](iam-controls.md#iam-23)
+ [[IAM.24] IAM 역할에 태그를 지정해야 합니다.](iam-controls.md#iam-24)
+ [[IAM.25] IAM 사용자에게 태그를 지정해야 합니다.](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender 보안 프로필에 태그를 지정해야 합니다.](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core 완화 작업에 태그를 지정해야 합니다.](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core 차원에 태그를 지정해야 합니다.](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core 권한 부여자에 태그를 지정해야 합니다.](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core 역할 별칭에 태그를 지정해야 합니다.](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 정책에 태그를 지정해야 합니다.](iot-controls.md#iot-6)
+ [[IoTEvents.1] AWS IoT Events 입력에 태그를 지정해야 합니다.](iotevents-controls.md#iotevents-1)
+ [[IoTEvents.2] AWS IoT Events 감지기 모델에 태그를 지정해야 합니다.](iotevents-controls.md#iotevents-2)
+ [[IoTEvents.3] AWS IoT Events 경보 모델에 태그를 지정해야 합니다.](iotevents-controls.md#iotevents-3)
+ [[IoTSiteWise.1] AWS IoT SiteWise 자산 모델에 태그를 지정해야 합니다.](iotsitewise-controls.md#iotsitewise-1)
+ [[IoTSiteWise.2] AWS IoT SiteWise 대시보드에 태그를 지정해야 합니다.](iotsitewise-controls.md#iotsitewise-2)
+ [[IoTSiteWise.3] AWS IoT SiteWise 게이트웨이에 태그를 지정해야 합니다.](iotsitewise-controls.md#iotsitewise-3)
+ [[IoTSiteWise.4] AWS IoT SiteWise 포털에 태그를 지정해야 합니다.](iotsitewise-controls.md#iotsitewise-4)
+ [[IoTSiteWise.5] AWS IoT SiteWise 프로젝트에 태그를 지정해야 합니다.](iotsitewise-controls.md#iotsitewise-5)
+ [[IoTTwinMaker.1] AWS IoT TwinMaker 동기화 작업에 태그를 지정해야 합니다.](iottwinmaker-controls.md#iottwinmaker-1)
+ [[IoTTwinMaker.2] AWS IoT TwinMaker 워크스페이스에 태그를 지정해야 합니다.](iottwinmaker-controls.md#iottwinmaker-2)
+ [[IoTTwinMaker.3] AWS IoT TwinMaker 장면에 태그를 지정해야 합니다.](iottwinmaker-controls.md#iottwinmaker-3)
+ [[IoTTwinMaker.4] AWS IoT TwinMaker 엔터티에 태그를 지정해야 합니다.](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IoTWireless.1] AWS IoT Wireless 멀티캐스트 그룹에 태그를 지정해야 합니다.](iotwireless-controls.md#iotwireless-1)
+ [[IoTWireless.2] AWS IoT Wireless 서비스 프로파일에 태그를 지정해야 합니다.](iotwireless-controls.md#iotwireless-2)
+ [[IoTWireless.3] AWS IoT FUOTA 작업에 태그를 지정해야 합니다.](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] IVS 재생 키 페어에 태그를 지정해야 합니다](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS 레코딩 구성에 태그를 지정해야 합니다](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS 채널에 태그를 지정해야 합니다](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces 키스페이스에 태그를 지정해야 합니다](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis 스트림에 태그를 지정해야 합니다.](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda 함수에는 태그를 지정해야 합니다.](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ 브로커에 태그를 지정해야 합니다.](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] 네트워크 방화벽에 태그를 지정해야 합니다.](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] 네트워크 방화벽 정책에 태그를 지정해야 합니다.](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch 도메인에 태그를 지정해야 합니다.](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS 프라이빗 CA 인증 기관에 태그를 지정해야 합니다.](pca-controls.md#pca-2)
+ [[RDS.28] RDS DB 클러스터에 태그를 지정해야 합니다.](rds-controls.md#rds-28)
+ [[RDS.29] RDS DB 클러스터 스냅샷에 태그를 지정해야 합니다.](rds-controls.md#rds-29)
+ [[RDS.30] RDS DB 인스턴스에 태그를 지정해야 합니다.](rds-controls.md#rds-30)
+ [[RDS.31] RDS DB 보안 그룹에 태그를 지정해야 합니다.](rds-controls.md#rds-31)
+ [[RDS.32] RDS DB 스냅샷에 태그를 지정해야 합니다.](rds-controls.md#rds-32)
+ [[RDS.33] RDS DB 서브넷 그룹에 태그를 지정해야 합니다.](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift 클러스터에 태그를 지정해야 합니다.](redshift-controls.md#redshift-11)
+ [[Redshift.12] Redshift 이벤트 알림 구독에 태그를 지정해야 합니다.](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift 클러스터 스냅샷에 태그를 지정해야 합니다.](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift 클러스터 서브넷 그룹에 태그를 지정해야 합니다.](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift 클러스터 파라미터 그룹에 태그를 지정해야 합니다](redshift-controls.md#redshift-17)
+ [[Route53.1] Route 53 상태 확인에 태그를 지정해야 합니다.](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker 앱 이미지 구성에 태그를 지정해야 합니다](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker 이미지에 태그를 지정해야 합니다](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager 보안 암호에 태그를 지정해야 합니다.](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES 연락처 목록에 태그를 지정해야 합니다.](ses-controls.md#ses-1)
+ [[SES.2] SES 구성 세트에 태그를 지정해야 합니다.](ses-controls.md#ses-2)
+ [[SNS.3] SNS 주제에 태그를 지정해야 합니다.](sns-controls.md#sns-3)
+ [[SQS.2] SQS 대기열에 태그를 지정해야 합니다.](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM 문서에 태그를 지정해야 합니다](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family 워크플로에 태그를 지정해야 합니다.](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family 계약에 태그를 지정해야 합니다](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family 인증서에 태그를 지정해야 합니다](transfer-controls.md#transfer-5)
+ [[Transfer.6] Transfer Family 커넥터에 태그를 지정해야 합니다](transfer-controls.md#transfer-6)
+ [[Transfer.7] Transfer Family 프로파일에 태그를 지정해야 합니다](transfer-controls.md#transfer-7)
# Security Hub CSPM의 CIS AWS 파운데이션 벤치마크
Center for Internet Security(CIS) AWS Foundations Benchmark는 일련의 보안 구성 모범 사례 역할을 합니다 AWS. 업계에서 인정받은 이러한 모범 사례는 명확한 단계별 구현 및 평가 절차를 제공합니다. 운영 체제에서 클라우드 서비스 및 네트워크 장치에 이르기까지 이 Benchmark의 제어 기능은 조직에서 사용하는 특정 시스템을 보호하는 데 도움이 됩니다.
AWS Security Hub CSPM은 CIS AWS 파운데이션 벤치마크 버전 5.0.0, 3.0.0, 1.4.0 및 1.2.0을 지원합니다. 이 페이지에는 각 버전이 지원하는 보안 제어가 나열되어 있습니다. 또한 버전 비교도 제공합니다.
## CIS AWS 파운데이션 벤치마크 버전 5.0.0
Security Hub CSPM은 CIS AWS 파운데이션 벤치마크 버전 5.0.0(v5.0.0)을 지원합니다. Security Hub CSPM은 CIS 보안 소프트웨어 인증 요구 사항을 충족했으며 다음 CIS Benchmark에 대해 CIS 보안 소프트웨어 인증을 받았습니다.
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v5.0.0, 레벨 1
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v5.0.0, 레벨 2
### CIS AWS 파운데이션 벤치마크 버전 5.0.0에 적용되는 제어
[[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7)
[[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8)
[[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
[[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-53)
[[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS](efs-controls.md#efs-1)
[[EFS .8] EFS 파일 시스템은 저장 시 암호화해야 합니다.](efs-controls.md#efs-8)
[[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
[[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
[[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
[[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22)
[[IAM.26] IAM에서 관리되는 만료된 SSL/TLS 인증서를 제거해야 합니다.](iam-controls.md#iam-26)
[[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 외부 액세스 분석기를 활성화해야 합니다.](iam-controls.md#iam-28)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
[[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
[[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3)
[[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.](rds-controls.md#rds-5)
[[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13)
[[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.](rds-controls.md#rds-15)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
[[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.](s3-controls.md#s3-20)
[[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.](s3-controls.md#s3-22)
[[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.](s3-controls.md#s3-23)
## CIS AWS 파운데이션 벤치마크 버전 3.0.0
Security Hub CSPM은 CIS AWS 파운데이션 벤치마크 버전 3.0.0(v3.0.0)을 지원합니다. Security Hub CSPM은 CIS 보안 소프트웨어 인증 요구 사항을 충족했으며 다음 CIS Benchmark에 대해 CIS 보안 소프트웨어 인증을 받았습니다.
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v3.0.0, 레벨 1
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v3.0.0, 레벨 2
### CIS AWS 파운데이션 벤치마크 버전 3.0.0에 적용되는 제어
[[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7)
[[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8)
[[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
[[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-53)
[[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS](efs-controls.md#efs-1)
[[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
[[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
[[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
[[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22)
[[IAM.26] IAM에서 관리되는 만료된 SSL/TLS 인증서를 제거해야 합니다.](iam-controls.md#iam-26)
[[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 외부 액세스 분석기를 활성화해야 합니다.](iam-controls.md#iam-28)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
[[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
[[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3)
[[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
[[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.](s3-controls.md#s3-20)
[[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.](s3-controls.md#s3-22)
[[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.](s3-controls.md#s3-23)
## CIS AWS 파운데이션 벤치마크 버전 1.4.0
Security Hub CSPM은 CIS AWS 파운데이션 벤치마크 버전 1.4.0(v1.4.0)을 지원합니다.
### CIS AWS 파운데이션 벤치마크 버전 1.4.0에 적용되는 제어
[[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-14)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7)
[[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
[[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
[[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
[[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
[[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
[[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
[[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.](s3-controls.md#s3-20)
## CIS AWS 파운데이션 벤치마크 버전 1.2.0
Security Hub CSPM은 CIS AWS 파운데이션 벤치마크 버전 1.2.0(v1.2.0)을 지원합니다. Security Hub CSPM은 CIS 보안 소프트웨어 인증 요구 사항을 충족했으며 다음 CIS Benchmark에 대해 CIS 보안 소프트웨어 인증을 받았습니다.
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v1.2.0, 레벨 1
+ CIS AWS 파운데이션 벤치마크용 CIS 벤치마크, v1.2.0, 레벨 2
### CIS AWS 파운데이션 벤치마크 버전 1.2.0에 적용되는 제어
[[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-14)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13)
[[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-14)
[[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
[[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-11)
[[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-12)
[[IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-13)
[[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-14)
[[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
[[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
[[IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.](iam-controls.md#iam-17)
[[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
## CIS AWS 파운데이션 벤치마크 버전 비교
이 섹션에서는 인터넷 보안 센터(CIS) AWS 기반 벤치마크인 v5.0.0, v3.0.0, v1.4.0 및 v1.2.0의 특정 버전 간의 차이점을 요약합니다. AWS Security Hub CSPM은 이러한 CIS AWS 파운데이션 벤치마크 버전을 각각 지원합니다. 그러나 보안 모범 사례를 최신 상태로 유지하려면 v5.0.0을 사용하는 것이 좋습니다. 여러 버전의 CIS AWS 파운데이션 벤치마크 표준을 동시에 활성화할 수 있습니다. 표준을 활성화하는 방법에 대한 자세한 내용은 [보안 표준 활성화](enable-standards.md) 섹션을 참조하세요. v5.0.0으로 업그레이드하려면 이전 버전을 비활성화하기 전에 먼저 활성화하는 것이 좋습니다. 이렇게 하면 보안 검사의 격차를 방지할 수 있습니다. AWS Organizations 와 Security Hub CSPM 통합을 사용하고 여러 계정에서 v5.0.0을 일괄 활성화하려는 경우 [중앙 구성을](central-configuration-intro.md) 사용하는 것이 좋습니다.
### 각 버전의 CIS 요구 사항에 대한 제어 매핑
CIS AWS 파운데이션 벤치마크의 각 버전에서 지원하는 제어를 이해합니다.
| 제어 ID 및 제목 | CIS v5.0.0 요구 사항 | CIS v3.0.0 요구 사항 | CIS v1.4.0 요구 사항 | CIS v1.2.0 요구 사항 |
| --- | --- | --- | --- | --- |
| [[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1.18 |
| [[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 3.7 | 2.7 |
| [[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 3.4 | 2.4 |
| [[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.](cloudtrail-controls.md#cloudtrail-6) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 3.3 | 2.3 |
| [[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.3 | 3.3 |
| [[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-2) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 3.1 |
| [[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-3) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 3.2 |
| [[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-4) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.4 | 3.4 |
| [[CloudWatch.5] CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다](cloudwatch-controls.md#cloudwatch-5) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.5 | 3.5 |
| [[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-6) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.6 | 3.6 |
| [[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-7) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.7 | 3.7 |
| [[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-8) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.8 | 3.8 |
| [[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-9) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.9 | 3.9 |
| [[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-10) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.10 | 3.10 |
| [[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-11) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.11 | 3.11 |
| [[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-12) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.12 | 3.12 |
| [[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-13) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.13 | 3.13 |
| [[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-14) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 4.14 | 3.14 |
| [[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2.5 |
| [[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6) | 3.7 | 3.7 | 3.9 | 2.9 |
| [[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | 지원되지 않음 |
| [[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8) | 5.7 | 5.6 | 지원되지 않음 | 지원되지 않음 |
| [[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13) | 지원되지 않음 - 요구 사항 5.3 및 5.4로 대체됨 | 지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 | 지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 | 4.1 |
| [[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-14) | 지원되지 않음 - 요구 사항 5.3 및 5.4로 대체됨 | 지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 | 지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 | 4.2 |
| [[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | 지원되지 않음 |
| [[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-53) | 5.3 | 5.2 | 지원되지 않음 | 지원되지 않음 |
| [[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-54) | 5.4 | 5.3 | 지원되지 않음 | 지원되지 않음 |
| [[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | 지원되지 않음 | 지원되지 않음 |
| [[EFS .8] EFS 파일 시스템은 저장 시 암호화해야 합니다.](efs-controls.md#efs-8) | 2.3.1 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 |
| [[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1) | 지원되지 않음 | 지원되지 않음 | 1.16 | 1.22 |
| [[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2) | 1.14 | 1.15 | 지원되지 않음 | 1.16 |
| [[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8) | 지원되지 않음 - 대신 [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22) 참조 | 지원되지 않음 - 대신 [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22) 참조 | 지원되지 않음 - 대신 [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22) 참조 | 1.3 |
| [[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-11) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.5 |
| [[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-12) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.6 |
| [[IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-13) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.7 |
| [[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-14) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.8 |
| [[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15) | 1.7 | 1.8 | 1.8 | 1.9 |
| [[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [[IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.](iam-controls.md#iam-17) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.11 |
| [[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [[IAM.20] 루트 사용자의 사용을 피합니다.](iam-controls.md#iam-20) | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 지원되지 않음 - CIS가 이 요구 사항을 제거했음 | 1.1 |
| [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[IAM.26] IAM에서 관리되는 만료된 SSL/TLS 인증서를 제거해야 합니다.](iam-controls.md#iam-26) | 1.18 | 1.19 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.](iam-controls.md#iam-27) | 1.21 | 1.22 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[IAM.28] IAM Access Analyzer 외부 액세스 분석기를 활성화해야 합니다.](iam-controls.md#iam-28) | 1.19 | 1.20 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [[Macie.1] Amazon Macie가 활성화되어야 합니다.](macie-controls.md#macie-1) | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 | 지원되지 않음 - 수동 확인 |
| [[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.](rds-controls.md#rds-5) | 2.2.4 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.](rds-controls.md#rds-15) | 2.2.4 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
| [[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | 지원되지 않음 - CIS가 이 요구 사항을 이후 버전에 추가했음 |
### CIS AWS 파운데이션 벤치마크용 ARNs
CIS AWS 파운데이션 벤치마크 버전을 하나 이상 활성화하면 AWS 보안 조사 결과 형식(ASFF)으로 조사 결과를 받기 시작합니다. ASFF에서 각 버전은 다음 Amazon 리소스 이름(ARN)을 사용합니다.
**CIS AWS 파운데이션 벤치마크 v5.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`
**CIS AWS 파운데이션 벤치마크 v3.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`
**CIS AWS 파운데이션 벤치마크 v1.4.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`
**CIS AWS 파운데이션 벤치마크 v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 작업을 사용하여 활성화된 표준의 ARN을 찾을 수 있습니다.
앞의 값은 `StandardsArn`에 대한 것입니다. 그러나 `StandardsSubscriptionArn`은 리전에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)를 직접적으로 호출하여 표준을 구독할 때 Security Hub CSPM이 생성하는 표준 구독 리소스를 나타냅니다.
**참고**
CIS AWS 파운데이션 벤치마크 버전을 활성화하면 Security Hub CSPM이 다른 활성화된 표준에서 활성화된 제어와 동일한 AWS Config 서비스 연결 규칙을 사용하는 제어에 대한 조사 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. 제어 조사 결과 생성 일정에 대한 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 섹션을 참조하세요.
통합 제어 조사 결과를 켜면 조사 결과 필드가 달라집니다. 해당 차이점에 대한 자세한 내용은 [ASFF 필드 및 값에 대한 통합의 영향](asff-changes-consolidation.md) 섹션을 참조하세요. 샘플 제어 조사 결과는 [제어 조사 결과 샘플](sample-control-findings.md) 섹션을 참조하세요.
### Security Hub CSPM에서 지원되지 않는 CIS 요구 사항
앞의 표에서 언급한 대로 Security Hub CSPM은 모든 버전의 CIS AWS 파운데이션 벤치마크에서 모든 CIS 요구 사항을 지원하지 않습니다. 지원되지 않는 요구 사항은 대부분 수동으로 AWS 리소스 상태를 검토해야만 평가할 수 있습니다.
# Security Hub CSPM의 NIST SP 800-53 개정 5
NIST 특별 간행물 800-53 개정 5(NIST SP 800-53 개정 5)는 미국 상무부 산하 기관인 국립 표준 기술 연구소(NIST)에서 개발한 사이버 보안 및 규정 준수 프레임워크입니다. 이 규정 준수 프레임워크는 정보 시스템 및 중요 리소스의 기밀성, 무결성, 가용성을 보호하기 위한 보안 및 개인 정보 보호 요구 사항의 카탈로그를 제공합니다. 미국 연방 정부 기관 및 계약업체는 시스템 및 조직을 보호하기 위해 이러한 요구 사항을 준수해야 합니다. 또한 민간 조직도 사이버 보안 위험을 줄이기 위한 지침 프레임워크로 해당 요구 사항을 자발적으로 사용할 수 있습니다. 이 프레임워크 및 해당 요구 사항에 대한 자세한 내용은 *NIST 컴퓨터 보안 리소스 센터*에서 [NIST SP 800-53 개정 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)를 참조하세요.
AWS Security Hub CSPM은 NIST SP 800-53 개정 5 요구 사항의 하위 집합을 지원하는 보안 제어를 제공합니다. 제어는 특정 AWS 서비스 및 리소스에 대한 자동 보안 검사를 수행합니다. 이러한 제어를 활성화하고 관리하기 위해 Security Hub CSPM에서 NIST SP 800-53 개정 5 프레임워크를 표준으로 활성화할 수 있습니다. Security Hub CSPM 제어는 수동 검사가 필요한 NIST SP 800-53 개정 5 요구 사항을 지원하지 않습니다.
다른 프레임워크와 달리 NIST SP 800-53 개정 5 프레임워크는 요구 사항 평가 방법에 대한 규범이 아닙니다. 대신, 이 프레임워크는 지침을 제공합니다. Security Hub CSPM에서 NIST SP 800-53 개정 5 표준 및 제어는 이러한 지침에 대한 서비스의 이해를 나타냅니다.
**Topics**
+ [표준에 대한 리소스 기록 구성](#standards-reference-nist-800-53-recording)
+ [표준에 적용되는 제어 결정](#standards-reference-nist-800-53-controls)
## 표준에 적용되는 제어에 대한 리소스 기록 구성
조사 결과의 적용 범위와 정확도를 최적화하려면 AWS Security Hub CSPM에서 NIST SP 800-53 개정 5 표준을 활성화하기 AWS Config 전에에서 리소스 기록을 활성화하고 구성하는 것이 중요합니다. 리소스 기록을 구성할 때는 표준에 적용되는 제어에서 확인하는 모든 유형의 AWS 리소스에 대해서도 리소스 기록을 활성화해야 합니다. 이는 주로 *변경 트리거* 일정 유형을 사용하는 제어에 필요합니다. 그러나 일정 유형이 *주기적*인 일부 제어에도 리소스 기록이 필요합니다. 리소스 기록이 활성화되지 않았거나 제대로 구성되지 않은 경우 Security Hub CSPM은 적절한 리소스를 평가하고 표준에 적용되는 제어에 대한 정확한 결과를 생성하지 못할 수 있습니다.
Security Hub CSPM이에서 리소스 기록을 사용하는 방법에 대한 자세한 내용은 섹션을 AWS Config참조하세요[Security Hub CSPM AWS Config 에 대한 활성화 및 구성](securityhub-setup-prereqs.md). 에서 리소스 레코딩을 구성하는 방법에 대한 자세한 내용은 *AWS Config 개발자 안내서*[의 구성 레코더 작업을](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) AWS Config참조하세요.
다음 표에서는 Security Hub CSPM의 NIST SP 800-53 개정 5 표준에 적용되는 제어에 대해 기록할 리소스 유형을 보여줍니다.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 오토 스케일링 | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry(Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service(Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System(Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service(Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka(Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service(SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service(Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager(SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## 표준에 적용되는 제어 결정
다음 목록은 NIST SP 800-53 개정 5 요구 사항을 지원하고 AWS Security Hub CSPM의 NIST SP 800-53 개정 5 표준에 적용되는 제어를 지정합니다. 제어가 지원하는 특정 요구 사항에 대한 세부 정보를 보려면 해당 제어를 선택합니다. 그런 다음 제어 세부 정보에서 **관련 요구 사항** 필드를 참조하세요. 이 필드는 제어가 지원하는 각 NIST 요구 사항을 표시합니다. 필드에 특정 NIST 요구 사항이 지정되지 않은 경우 제어가 요구 사항을 지원하지 않는 것입니다.
+ [[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1)
+ [[Account.2] AWS Organizations 조직의 일부여야 AWS 계정 합니다.](account-controls.md#account-2)
+ [[ACM.1] 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API 게이트웨이는 WAF 웹 ACL과 연결되어야 합니다.](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API 게이트웨이 경로는 인증 유형을 지정해야 합니다.](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 합니다.](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync GraphQL APIs API 키로 인증해서는 안 됩니다.](appsync-controls.md#appsync-5)
+ [[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.](autoscaling-controls.md#autoscaling-6)
+ [[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] AWS Backup 복구 지점은 저장 시 암호화되어야 합니다.](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 배포판에는 WAF가 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 배포는 SNI를 사용하여 HTTPS 요청을 처리해야 합니다.](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다.](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다. AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch 경보에는 지정된 구성되어 있어야 합니다.](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] CloudWatch 경보 조치를 활성화해야 합니다.](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.](codebuild-controls.md#codebuild-4)
+ [[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
+ [[DataFirehose.1] Firehose 전송 스트림은 저장 시 암호화해야 합니다.](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.](dms-controls.md#dms-1)
+ [[DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](dms-controls.md#dms-6)
+ [[DMS.7] 대상 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-7)
+ [[DMS.8] 소스 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-8)
+ [[DMS.9] DMS 엔드포인트는 SSL을 사용해야 합니다.](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 데이터베이스용 DMS 엔드포인트에는 IAM 인증이 활성화되어 있어야 합니다.](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB용 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS용 DMS 엔드포인트에는 TLS가 활성화되어 있어야 합니다.](dms-controls.md#dms-12)
+ [[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] DynamoDB 테이블에는 시점 복구가 활성화되어 있어야 합니다.](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.](ec2-controls.md#ec2-1)
+ [[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
+ [[EC2.3] 연결된 Amazon EBS 볼륨은 저장 시 암호화되어야 합니다.](ec2-controls.md#ec2-3)
+ [[EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.](ec2-controls.md#ec2-4)
+ [[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
+ [[EC2.7] EBS 기본 암호화를 활성화해야 합니다.](ec2-controls.md#ec2-7)
+ [[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8)
+ [[EC2.9] Amazon EC2 인스턴스에는 퍼블릭 IPv4 주소가 없어야 합니다.](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.](ec2-controls.md#ec2-10)
+ [[EC2.12] 사용하지 않는 Amazon EC2 EIP는 제거해야 합니다.](ec2-controls.md#ec2-12)
+ [[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13)
+ [[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.](ec2-controls.md#ec2-15)
+ [[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.](ec2-controls.md#ec2-16)
+ [[EC2.17] Amazon EC2 인스턴스는 여러 ENI를 사용해서는 안 됩니다.](ec2-controls.md#ec2-17)
+ [[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.](ec2-controls.md#ec2-18)
+ [[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.](ec2-controls.md#ec2-19)
+ [[EC2.20] a AWS Site-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.](ec2-controls.md#ec2-20)
+ [[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
+ [[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.](ec2-controls.md#ec2-23)
+ [[EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.](ec2-controls.md#ec2-25)
+ [[EC2.28] EBS 볼륨에는 백업 계획이 적용되어야 합니다.](ec2-controls.md#ec2-28)
+ [[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-51)
+ [[EC2.55] VPC는 ECR API용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-55)
+ [[EC2.56] VPC는 Docker Registry용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-56)
+ [[EC2.57] VPC는 Systems Manager용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-57)
+ [[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-58)
+ [[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다](ec2-controls.md#ec2-60)
+ [[ECR.1] ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다.](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 리포지토리에는 수명 주기 정책이 하나 이상 구성되어 있어야 합니다.](ecr-controls.md#ecr-3)
+ [[ECR.5] ECR 리포지토리는 고객 관리형 로 암호화해야 합니다. AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Amazon ECS 태스크 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다](ecs-controls.md#ecs-1)
+ [[ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다.](ecs-controls.md#ecs-2)
+ [[ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행해야 합니다.](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 태스크 정의는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되도록 컨테이너를 구성해야 합니다.](ecs-controls.md#ecs-5)
+ [[ECS.8] 암호는 컨테이너 환경 변수로 전달되어서는 안 됩니다.](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 클러스터는 Container Insights를 사용해야 합니다.](ecs-controls.md#ecs-12)
+ [[ECS.17] ECS 태스크 정의는 호스트 네트워크 모드를 사용해서는 안 됩니다](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.](efs-controls.md#efs-2)
+ [[EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.](efs-controls.md#efs-3)
+ [[EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.](efs-controls.md#efs-4)
+ [[EFS.6] EFS 탑재 대상은 시작 시 퍼블릭 IP 주소를 할당하는 서브넷과 연결되어서는 안 됩니다](efs-controls.md#efs-6)
+ [[EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.](eks-controls.md#eks-1)
+ [[EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다.](eks-controls.md#eks-2)
+ [[EKS.3] EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다.](eks-controls.md#eks-3)
+ [[EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](eks-controls.md#eks-8)
+ [[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 복제 그룹은 저장 시 암호화해야 합니다.](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 복제 그룹은 전송 중 암호화되어야 합니다.](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.](elb-controls.md#elb-1)
+ [[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.](elb-controls.md#elb-3)
+ [[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.](elb-controls.md#elb-4)
+ [[ELB.5] 애플리케이션 및 Classic Load Balancer 로깅이 활성화되어야 합니다.](elb-controls.md#elb-5)
+ [[ELB.6] 애플리케이션, 게이트웨이, Network Load Balancers에는 삭제 보호가 활성화되어 있어야 합니다.](elb-controls.md#elb-6)
+ [[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.](elb-controls.md#elb-7)
+ [[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박이 있는 사전 정의된 보안 정책을 사용해야 합니다.](elb-controls.md#elb-8)
+ [[ELB.9] Classic Load Balancer에는 교차 영역 로드 밸런싱이 활성화되어 있어야 합니다.](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.](elb-controls.md#elb-12)
+ [[ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.](elb-controls.md#elb-14)
+ [[ELB.16] Application Load Balancer는 AWS WAF 웹 ACL과 연결되어야 합니다.](elb-controls.md#elb-16)
+ [[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다](elb-controls.md#elb-17)
+ [[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.](emr-controls.md#emr-1)
+ [[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 보안 구성은 저장 시 암호화되어야 합니다](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 보안 구성은 전송 중 암호화되어야 합니다](emr-controls.md#emr-4)
+ [[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](es-controls.md#es-1)
+ [[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](es-controls.md#es-2)
+ [[ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.](es-controls.md#es-3)
+ [[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.](es-controls.md#es-4)
+ [[ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](es-controls.md#es-5)
+ [[ES.6] Elasticsearch 도메인에는 최소 세 개의 데이터 노드가 있어야 합니다.](es-controls.md#es-6)
+ [[ES.7] Elasticsearch 도메인은 최소 3개의 전용 프라이머리 노드로 구성해야 합니다.](es-controls.md#es-7)
+ [[ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다.](es-controls.md#es-8)
+ [[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx for Lustre 파일 시스템이 백업에 태그를 복사하도록 구성되어 있어야 합니다.](fsx-controls.md#fsx-2)
+ [[Glue.4] AWS Glue 스파크 작업은의 지원되는 버전에서 실행되어야 합니다. AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty를 활성화해야 합니다.](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
+ [[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
+ [[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
+ [[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
+ [[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
+ [[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
+ [[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.](iam-controls.md#iam-7)
+ [[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
+ [[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
+ [[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-19)
+ [[IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.](iam-controls.md#iam-21)
+ [[Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.](kinesis-controls.md#kinesis-1)
+ [[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.](kms-controls.md#kms-1)
+ [[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.](kms-controls.md#kms-2)
+ [[KMS.3] 실수로 삭제해서는 AWS KMS keys 안 됩니다.](kms-controls.md#kms-3)
+ [[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
+ [[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.](lambda-controls.md#lambda-1)
+ [[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.](lambda-controls.md#lambda-2)
+ [[Lambda.3] Lambda 함수는 VPC에 있어야 합니다.](lambda-controls.md#lambda-3)
+ [[Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 함수에는 AWS X-Ray 활성 추적이 활성화되어 있어야 합니다.](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie가 활성화되어야 합니다.](macie-controls.md#macie-1)
+ [[Macie.2] Macie 민감한 데이터 자동 검색을 활성화해야 합니다.](macie-controls.md#macie-2)
+ [[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.](msk-controls.md#msk-1)
+ [[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.](msk-controls.md#msk-2)
+ [[MQ.2] ActiveMQ 브로커는 감사 로그를 CloudWatch로 스트리밍해야 합니다.](mq-controls.md#mq-2)
+ [[MQ.3] Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](mq-controls.md#mq-3)
+ [[MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다](mq-controls.md#mq-6)
+ [[Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-5)
+ [[Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 합니다.](neptune-controls.md#neptune-7)
+ [[Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] 네트워크 방화벽 정책에는 연결된 규칙 그룹이 하나 이상 있어야 합니다.](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 상태 비저장 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] 네트워크 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.](opensearch-controls.md#opensearch-8)
+ [[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.](opensearch-controls.md#opensearch-11)
+ [[PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.](pca-controls.md#pca-1)
+ [[RDS.1] RDS 스냅샷은 비공개여야 합니다.](rds-controls.md#rds-1)
+ [[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
+ [[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.](rds-controls.md#rds-3)
+ [[RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.](rds-controls.md#rds-4)
+ [[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.](rds-controls.md#rds-5)
+ [[RDS.6] RDS DB 인스턴스에 대한 Enhanced Monitoring을 구성해야 합니다.](rds-controls.md#rds-6)
+ [[RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.](rds-controls.md#rds-7)
+ [[RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.](rds-controls.md#rds-8)
+ [[RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-9)
+ [[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.](rds-controls.md#rds-10)
+ [[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.](rds-controls.md#rds-11)
+ [[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.](rds-controls.md#rds-12)
+ [[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13)
+ [[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.](rds-controls.md#rds-14)
+ [[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.](rds-controls.md#rds-15)
+ [[RDS.16] Aurora DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다.](rds-controls.md#rds-16)
+ [[RDS.17] RDS DB 인스턴스는 태그를 스냅샷에 복사하도록 구성되어야 합니다.](rds-controls.md#rds-17)
+ [[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-19)
+ [[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-20)
+ [[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-21)
+ [[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-22)
+ [[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다.](rds-controls.md#rds-23)
+ [[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-24)
+ [[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-25)
+ [[RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.](rds-controls.md#rds-26)
+ [[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.](rds-controls.md#rds-27)
+ [[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-34)
+ [[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](rds-controls.md#rds-35)
+ [[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다](rds-controls.md#rds-40)
+ [[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다](rds-controls.md#rds-42)
+ [[RDS.45] Aurora MySQL DB 클러스터에는 감사 로깅이 활성화되어 있어야 합니다](rds-controls.md#rds-45)
+ [[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.](redshift-controls.md#redshift-1)
+ [[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.](redshift-controls.md#redshift-2)
+ [[Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift 클러스터는 향상된 VPC 라우팅을 사용해야 합니다](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다. AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.](route53-controls.md#route53-2)
+ [[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
+ [[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.](s3-controls.md#s3-2)
+ [[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다](s3-controls.md#s3-3)
+ [[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
+ [[S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정](s3-controls.md#s3-6)
+ [[S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다](s3-controls.md#s3-7)
+ [[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
+ [[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다](s3-controls.md#s3-9)
+ [[S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다](s3-controls.md#s3-10)
+ [[S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다](s3-controls.md#s3-11)
+ [[S3.12] S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다](s3-controls.md#s3-12)
+ [[S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다](s3-controls.md#s3-13)
+ [[S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다](s3-controls.md#s3-14)
+ [[S3.15] S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다.](s3-controls.md#s3-15)
+ [[S3.17] S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.](s3-controls.md#s3-19)
+ [[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.](s3-controls.md#s3-20)
+ [[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정 VPC에서 시작해야 합니다.](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] 사용하지 않는 Secrets Manager 암호 삭제](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS 조직 내에서만 공유해야 합니다.](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] SNS 주제는를 사용하여 저장 시 암호화되어야 합니다. AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Amazon SQS 대기열은 저장 시 암호화되어야 합니다.](sqs-controls.md#sqs-1)
+ [[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-2)
+ [[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM 문서는 공개해서는 안 됩니다.](ssm-controls.md#ssm-4)
+ [[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 커넥터에는 로깅이 활성화되어 있어야 합니다](transfer-controls.md#transfer-3)
+ [[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 합니다.](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 클래식 리전 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-10)
+ [[WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-11)
+ [[WAF.12] AWS WAF 규칙에는 CloudWatch 지표가 활성화되어 있어야 합니다.](waf-controls.md#waf-12)
# Security Hub CSPM의 NIST SP 800-171 개정 2
NIST 특별 간행물 800-171 개정 2(NIST SP 800-171 개정 2)는 미국 상무부 산하 기관인 국립 표준 기술 연구소(NIST)에서 개발한 사이버 보안 및 규정 준수 프레임워크입니다. 이 규정 준수 프레임워크는 미국 연방 정부에 속하지 않는 시스템 및 조직에서 통제된 미분류 정보의 기밀성을 보호하기 위한 권장 보안 요구 사항을 제공합니다. *통제된 미분류 정보*(*CUI*라고도 함)는 연방 정부의 분류 기준을 충족하지 않지만 보호해야 하는 민감한 정보입니다. 민감한 정보로 간주되며 미국 연방 정부 또는 미국 연방 정부를 대신하여 기타 기관이 생성 또는 소유하는 정보입니다.
NIST SP 800-171 개정 2는 다음과 같은 경우 CUI의 기밀성을 보호하기 위한 권장 보안 요구 사항을 제공합니다.
+ 정보가 비연방 시스템 및 조직에 상주하는 경우
+ 비연방 조직이 연방 기관을 대신하여 정보를 수집 또는 유지하지 않거나 연방 기관을 대신하여 시스템을 사용 또는 운영하지 않는 경우
+ CUI 레지스트리에 나열된 CUI 범주에 대한 권한 부여 법률, 규정 또는 정부 차원 정책에 규정된 CUI의 기밀성을 보호하기 위한 구체적인 보호 요구 사항이 없는 경우
요구 사항은 CUI를 처리, 저장 또는 전송하거나 구성 요소에 대한 보안 보호를 제공하는 비연방 시스템 및 조직의 모든 구성 요소에 적용됩니다. 자세한 내용은 *NIST 컴퓨터 보안 리소스 센터*에서 [NIST SP 800-171 개정 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)를 참조하세요.
AWS Security Hub CSPM은 NIST SP 800-171 개정 2 요구 사항의 하위 집합을 지원하는 보안 제어를 제공합니다. 제어는 특정 AWS 서비스 및 리소스에 대한 자동 보안 검사를 수행합니다. 이러한 제어를 활성화하고 관리하기 위해 Security Hub CSPM에서 NIST SP 800-171 개정 2 프레임워크를 표준으로 활성화할 수 있습니다. Security Hub CSPM 제어는 수동 검사가 필요한 NIST SP 800-171 개정 2 요구 사항을 지원하지 않습니다.
**Topics**
+ [표준에 대한 리소스 기록 구성](#standards-reference-nist-800-171-recording)
+ [표준에 적용되는 제어 결정](#standards-reference-nist-800-171-controls)
## 표준에 적용되는 제어에 대한 리소스 기록 구성
조사 결과의 적용 범위와 정확도를 최적화하려면 AWS Security Hub CSPM에서 NIST SP 800-171 개정 2 표준을 활성화하기 AWS Config 전에에서 리소스 기록을 활성화하고 구성하는 것이 중요합니다. 리소스 기록을 구성할 때는 표준에 적용되는 제어에서 확인하는 모든 유형의 AWS 리소스에 대해서도 리소스 기록을 활성화해야 합니다. 그렇지 않으면 Security Hub CSPM이 적절한 리소스를 평가하고 표준에 적용되는 제어에 대한 정확한 조사 결과를 생성하지 못할 수 있습니다.
Security Hub CSPM이에서 리소스 기록을 사용하는 방법에 대한 자세한 내용은 섹션을 AWS Config참조하세요[Security Hub CSPM AWS Config 에 대한 활성화 및 구성](securityhub-setup-prereqs.md). 에서 리소스 기록을 구성하는 방법에 대한 자세한 내용은 *AWS Config 개발자 안내서*[의 구성 레코더 작업을](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) AWS Config참조하세요.
다음 표에서는 Security Hub CSPM의 NIST SP 800-171 개정 2 표준에 적용되는 제어에 대해 기록할 리소스 유형을 보여줍니다.
| AWS 서비스 | 조건 키 |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service(Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## 표준에 적용되는 제어 결정
다음 목록은 NIST SP 800-171 개정 2 요구 사항을 지원하고 AWS Security Hub CSPM의 NIST SP 800-171 개정 2 표준에 적용되는 제어를 지정합니다. 제어가 지원하는 특정 요구 사항에 대한 세부 정보를 보려면 해당 제어를 선택합니다. 그런 다음 제어 세부 정보에서 **관련 요구 사항** 필드를 참조하세요. 이 필드는 제어가 지원하는 각 NIST 요구 사항을 표시합니다. 필드에 특정 NIST 요구 사항이 지정되지 않은 경우 제어가 요구 사항을 지원하지 않는 것입니다.
+ [[ACM.1] 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.](acm-controls.md#acm-1)
+ [[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch 경보에는 지정된 구성되어 있어야 합니다.](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.](ec2-controls.md#ec2-10)
+ [[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13)
+ [[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.](ec2-controls.md#ec2-16)
+ [[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.](ec2-controls.md#ec2-18)
+ [[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.](ec2-controls.md#ec2-19)
+ [[EC2.20] a AWS Site-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.](ec2-controls.md#ec2-20)
+ [[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-51)
+ [[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.](elb-controls.md#elb-3)
+ [[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박이 있는 사전 정의된 보안 정책을 사용해야 합니다.](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty를 활성화해야 합니다.](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
+ [[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
+ [[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.](iam-controls.md#iam-7)
+ [[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
+ [[IAM.10] IAM 사용자의 암호 정책에는 강력한 구성이 있어야 합니다.](iam-controls.md#iam-10)
+ [[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-11)
+ [[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-12)
+ [[IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-13)
+ [[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-14)
+ [[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
+ [[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
+ [[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-19)
+ [[IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.](iam-controls.md#iam-21)
+ [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] 네트워크 방화벽 정책에는 연결된 규칙 그룹이 하나 이상 있어야 합니다.](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 상태 비저장 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
+ [[S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정](s3-controls.md#s3-6)
+ [[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다](s3-controls.md#s3-9)
+ [[S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다](s3-controls.md#s3-11)
+ [[S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다](s3-controls.md#s3-14)
+ [[S3.17] S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS 주제는를 사용하여 저장 시 암호화되어야 합니다. AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-2)
+ [[WAF.12] AWS WAF 규칙에는 CloudWatch 지표가 활성화되어 있어야 합니다.](waf-controls.md#waf-12)
# Security Hub CSPM의 PCI DSS
지불 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 및 직불카드 정보를 안전하게 처리하기 위한 일련의 규칙 및 지침을 제공하는 서드 파티 규정 준수 프레임워크입니다. PCI 보안 표준 위원회(SSC)에서 이 프레임워크를 작성하고 업데이트합니다.
AWS Security Hub CSPM은이 타사 프레임워크를 준수하는 데 도움이 되는 PCI DSS 표준을 제공합니다. 이 표준을 사용하여 카드 소지자 데이터를 처리하는 AWS 리소스의 보안 취약성을 발견할 수 있습니다. 카드 소지자 데이터 또는 민감한 인증 데이터를 저장, 처리 또는 전송하는 리소스가 있는 AWS 계정 은 이 표준을 활성화하는 것이 좋습니다. 이 표준은 PCI SSC의 평가를 통해 검증되었습니다.
Security Hub CSPM은 PCI DSS v3.2.1과 PCI DSS v4.0.1을 모두 지원합니다. 보안 모범 사례를 최신 상태로 유지하려면 v4.0.1을 사용하는 것이 좋습니다. 두 버전의 표준을 동시에 활성화할 수 있습니다. 표준을 활성화하는 방법에 대한 자세한 내용은 [보안 표준 활성화](enable-standards.md) 섹션을 참조하세요. 현재 v3.2.1을 사용하고 있지만 v4.0.1만 사용하려는 경우 이전 버전을 비활성화하기 전에 최신 버전을 활성화하세요. 이렇게 하면 보안 검사의 격차를 방지할 수 있습니다. AWS Organizations 와 Security Hub CSPM 통합을 사용하고 여러 계정에서 v4.0.1을 일괄 활성화하려는 경우 [중앙 구성을](central-configuration-intro.md) 사용하여 활성화하는 것이 좋습니다.
다음 섹션에서는 PCI DSS v3.2.1 및 PCI DSS v4.0.1에 적용되는 제어를 자세히 소개합니다.
## PCI DSS v3.2.1에 적용되는 제어
다음 목록에서는 PCI DSS v3.2.1에 적용되는 Security Hub CSPM 제어를 보여줍니다. 제어의 세부 정보를 검토하려면 해당 제어를 선택하세요.
[[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.](autoscaling-controls.md#autoscaling-1)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-3)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.](cloudtrail-controls.md#cloudtrail-5)
[[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1)
[[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.](codebuild-controls.md#codebuild-2)
[[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다.](config-controls.md#config-1)
[[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.](dms-controls.md#dms-1)
[[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.](ec2-controls.md#ec2-1)
[[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.](ec2-controls.md#ec2-2)
[[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.](ec2-controls.md#ec2-6)
[[EC2.12] 사용하지 않는 Amazon EC2 EIP는 제거해야 합니다.](ec2-controls.md#ec2-12)
[[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13)
[[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.](elb-controls.md#elb-1)
[[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](es-controls.md#es-1)
[[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](es-controls.md#es-2)
[[GuardDuty.1] GuardDuty를 활성화해야 합니다.](guardduty-controls.md#guardduty-1)
[[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
[[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
[[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.10] IAM 사용자의 암호 정책에는 강력한 구성이 있어야 합니다.](iam-controls.md#iam-10)
[[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-19)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
[[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.](lambda-controls.md#lambda-1)
[[Lambda.3] Lambda 함수는 VPC에 있어야 합니다.](lambda-controls.md#lambda-3)
[[Opensearch.1] OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-1)
[[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](opensearch-controls.md#opensearch-2)
[[RDS.1] RDS 스냅샷은 비공개여야 합니다.](rds-controls.md#rds-1)
[[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
[[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.](redshift-controls.md#redshift-1)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.](s3-controls.md#s3-2)
[[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다](s3-controls.md#s3-3)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다](s3-controls.md#s3-7)
[[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.](sagemaker-controls.md#sagemaker-1)
[[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-3)
## PCI DSS v4.0.1에 적용되는 제어
다음 목록에서는 PCI DSS v4.0.1에 적용되는 Security Hub CSPM 제어를 보여줍니다. 제어의 세부 정보를 검토하려면 해당 제어를 선택하세요.
[[ACM.1] 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.](acm-controls.md#acm-1)
[[ACM.2] ACM에서 관리하는 RSA 인증서는 최소 2,048비트의 키 길이를 사용해야 합니다.](acm-controls.md#acm-2)
[[APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 합니다.](apigateway-controls.md#apigateway-9)
[[AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.](appsync-controls.md#appsync-2)
[[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.](autoscaling-controls.md#autoscaling-5)
[[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-1)
[[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.](cloudfront-controls.md#cloudfront-12)
[[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.](cloudfront-controls.md#cloudfront-3)
[[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] CloudFront 배포판에는 WAF가 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-6)
[[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.](cloudfront-controls.md#cloudfront-9)
[[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-3)
[[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.](cloudtrail-controls.md#cloudtrail-7)
[[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.](codebuild-controls.md#codebuild-3)
[[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.](dms-controls.md#dms-1)
[[DMS.10] Neptune 데이터베이스용 DMS 엔드포인트에는 IAM 인증이 활성화되어 있어야 합니다.](dms-controls.md#dms-10)
[[DMS.11] MongoDB용 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.](dms-controls.md#dms-11)
[[DMS.12] Redis OSS용 DMS 엔드포인트에는 TLS가 활성화되어 있어야 합니다.](dms-controls.md#dms-12)
[[DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](dms-controls.md#dms-6)
[[DMS.7] 대상 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-7)
[[DMS.8] 소스 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.](dms-controls.md#dms-8)
[[DMS.9] DMS 엔드포인트는 SSL을 사용해야 합니다.](dms-controls.md#dms-9)
[[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.](documentdb-controls.md#documentdb-4)
[[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다](dynamodb-controls.md#dynamodb-7)
[[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-13)
[[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-14)
[[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.](ec2-controls.md#ec2-15)
[[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.](ec2-controls.md#ec2-16)
[[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-170)
[[EC2.171] EC2 VPN 연결에는 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-171)
[[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.](ec2-controls.md#ec2-21)
[[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.](ec2-controls.md#ec2-25)
[[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.](ec2-controls.md#ec2-51)
[[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-53)
[[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다](ec2-controls.md#ec2-54)
[[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.](ec2-controls.md#ec2-8)
[[ECR.1] ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다.](ecr-controls.md#ecr-1)
[[ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.](ecs-controls.md#ecs-10)
[[ECS.16] ECS 작업 세트는 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.](ecs-controls.md#ecs-16)
[[ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다.](ecs-controls.md#ecs-2)
[[ECS.8] 암호는 컨테이너 환경 변수로 전달되어서는 안 됩니다.](ecs-controls.md#ecs-8)
[[EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.](efs-controls.md#efs-4)
[[EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.](eks-controls.md#eks-1)
[[EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다.](eks-controls.md#eks-2)
[[EKS.3] EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다.](eks-controls.md#eks-3)
[[EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](eks-controls.md#eks-8)
[[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다](elasticache-controls.md#elasticache-2)
[[ElastiCache.5] ElastiCache 복제 그룹은 전송 중 암호화되어야 합니다.](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.](elasticache-controls.md#elasticache-6)
[[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.](elb-controls.md#elb-12)
[[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.](elb-controls.md#elb-14)
[[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.](elb-controls.md#elb-4)
[[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박이 있는 사전 정의된 보안 정책을 사용해야 합니다.](elb-controls.md#elb-8)
[[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.](emr-controls.md#emr-1)
[[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.](emr-controls.md#emr-2)
[[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.](es-controls.md#es-2)
[[ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.](es-controls.md#es-3)
[[ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](es-controls.md#es-5)
[[ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다.](es-controls.md#es-8)
[[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.](eventbridge-controls.md#eventbridge-3)
[[GuardDuty.1] GuardDuty를 활성화해야 합니다.](guardduty-controls.md#guardduty-1)
[[GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-10)
[[GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] GuardDuty EKS 런타임 모니터링을 활성화해야 합니다.](guardduty-controls.md#guardduty-7)
[[GuardDuty.9] GuardDuty RDS 보호를 활성화해야 합니다.](guardduty-controls.md#guardduty-9)
[[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
[[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
[[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
[[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.](iam-controls.md#iam-7)
[[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
[[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
[[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-11)
[[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-12)
[[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-14)
[[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
[[IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.](iam-controls.md#iam-17)
[[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
[[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-19)
[[Inspector.1] Amazon Inspector EC2 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-1)
[[Inspector.2] Amazon Inspector ECR 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-2)
[[Inspector.3] Amazon Inspector Lambda 코드 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-3)
[[Inspector.4] Amazon Inspector Lambda 표준 스캔을 활성화해야 합니다.](inspector-controls.md#inspector-4)
[[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.](kms-controls.md#kms-4)
[[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.](lambda-controls.md#lambda-1)
[[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.](lambda-controls.md#lambda-2)
[[MQ.2] ActiveMQ 브로커는 감사 로그를 CloudWatch로 스트리밍해야 합니다.](mq-controls.md#mq-2)
[[MQ.3] Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](mq-controls.md#mq-3)
[[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.](msk-controls.md#msk-1)
[[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.](msk-controls.md#msk-3)
[[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](neptune-controls.md#neptune-2)
[[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.](neptune-controls.md#neptune-3)
[[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.](opensearch-controls.md#opensearch-10)
[[Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.](opensearch-controls.md#opensearch-5)
[[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.](rds-controls.md#rds-13)
[[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.](rds-controls.md#rds-2)
[[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-20)
[[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-21)
[[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.](rds-controls.md#rds-22)
[[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-24)
[[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.](rds-controls.md#rds-25)
[[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-34)
[[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.](rds-controls.md#rds-35)
[[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-36)
[[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.](rds-controls.md#rds-37)
[[RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.](rds-controls.md#rds-9)
[[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.](redshift-controls.md#redshift-1)
[[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.](redshift-controls.md#redshift-15)
[[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.](redshift-controls.md#redshift-2)
[[Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.](redshift-controls.md#redshift-4)
[[Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.](route53-controls.md#route53-2)
[[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다](s3-controls.md#s3-1)
[[S3.15] S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다.](s3-controls.md#s3-15)
[[S3.17] S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys](s3-controls.md#s3-17)
[[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.](s3-controls.md#s3-19)
[[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.](s3-controls.md#s3-22)
[[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.](s3-controls.md#s3-23)
[[S3.24] S3 다중 리전 액세스 포인트에 공개 액세스 차단 설정이 활성화되어 있어야 합니다](s3-controls.md#s3-24)
[[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다](s3-controls.md#s3-5)
[[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.](s3-controls.md#s3-8)
[[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다](s3-controls.md#s3-9)
[[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.](sagemaker-controls.md#sagemaker-1)
[[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.4] Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다.](secretsmanager-controls.md#secretsmanager-4)
[[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.](ssm-controls.md#ssm-3)
[[StepFunctions.1] Step Functions 상태 머신에는 로깅이 켜져 있어야 합니다.](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.](transfer-controls.md#transfer-2)
[[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-1)
[[WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-11)
# Security Hub CSPM의 서비스 관리형 표준
서비스 관리형 표준은 다른에서 AWS 서비스 관리하지만 Security Hub CSPM에서 볼 수 있는 보안 표준입니다. 예를 들어 [서비스 관리형 표준: AWS Control Tower](service-managed-standard-aws-control-tower.md)는가 AWS Control Tower 관리하는 서비스 관리형 표준입니다. 서비스 관리형 표준은 다음과 같은 측면에서 AWS Security Hub CSPM이 관리하는 보안 표준과 다릅니다.
+ **표준 생성 및 삭제** - 관리 서비스의 콘솔이나 API 또는 AWS CLI을(를) 사용하여 서비스 관리형 표준을 생성하고 삭제합니다. 이러한 방법 중 하나로 관리 서비스에서 표준을 작성하기 전까지는 표준이 Security Hub CSPM 콘솔에 나타나지 않으며 Security Hub CSPM API 또는 AWS CLI를 통해 액세스할 수 없습니다.
+ **제어 자동 활성화 없음** - 서비스 관리형 표준을 만들 때 Security Hub CSPM 및 관리 서비스는 표준에 적용되는 제어를 자동으로 활성화하지 않습니다. 또한 Security Hub CSPM에서 표준에 대한 새로운 제어를 릴리스하더라도 자동으로 활성화되지는 않습니다. 이는 Security Hub CSPM이 관리하는 표준과는 다릅니다. Security Hub CSPM에서 제어를 구성하는 일반적인 방법에 대한 자세한 내용은 [Security Hub CSPM의 보안 제어 이해](controls-view-manage.md) 섹션을 참조하세요.
+ **제어 활성화 및 비활성화** - 드리프트를 방지하려면 관리 서비스에서 제어를 활성화 및 비활성화하는 것이 좋습니다.
+ **제어 가용성** – 관리 서비스는 서비스 관리형 표준의 일부로 사용할 수 있는 제어를 선택합니다. 사용 가능한 제어에는 기존 Security Hub CSPM 제어의 전부 또는 일부가 포함될 수 있습니다.
관리 서비스가 서비스 관리형 표준을 만들고 이에 대한 제어를 사용할 수 있게 만든 후에는 Security Hub CSPM 콘솔, Security Hub CSPM API 또는 AWS CLI에서 제어 조사 결과, 제어 상태 및 표준 보안 점수에 액세스할 수 있습니다. 이 정보의 일부 또는 전부는 관리 서비스에서도 확인할 수 있습니다.
다음 목록에서 서비스 관리형 표준을 선택하면 해당 표준에 대한 자세한 내용을 볼 수 있습니다.
**Topics**
+ [서비스 관리형 표준: AWS Control Tower](service-managed-standard-aws-control-tower.md)
# 서비스 관리형 표준: AWS Control Tower
이 섹션에서는 서비스 관리형 표준에 대한 정보를 제공합니다 AWS Control Tower.
## 서비스 관리형 표준이란 무엇입니까 AWS Control Tower?
서비스 관리형 표준: Security Hub 제어의 하위 집합을 지원하는를 AWS Control Tower 관리하는 서비스 관리형 표준 AWS Control Tower 입니다. 이 표준은 AWS Security Hub CSPM 및 사용자를 위해 설계되었습니다 AWS Control Tower. 이를 통해 AWS Control Tower 서비스에서 Security Hub CSPM의 탐지 제어를 구성할 수 있습니다.
탐지 제어 기능은 AWS 계정내의 리소스 비준수(예제: 잘못된 구성)를 감지합니다.
**작은 정보**
서비스 관리형 표준은 AWS Security Hub CSPM이 관리하는 표준과 다릅니다. 예를 들어, 관리 서비스에서 서비스 관리형 표준을 만들고 삭제해야 합니다. 자세한 내용은 [Security Hub CSPM의 서비스 관리형 표준](service-managed-standards.md) 단원을 참조하십시오.
를 통해 Security Hub CSPM 제어를 활성화하면 AWS Control Tower Control Tower는 아직 활성화되지 않은 경우 해당 특정 계정 및 리전에서 Security Hub CSPM도 활성화합니다. Security Hub CSPM 콘솔 및 API에서 표준이 활성화된 후 다른 Security Hub CSPM 표준과 AWS Control Tower 함께 서비스 관리형 표준을 볼 수 있습니다 AWS Control Tower.
이 표준에 대한 자세한 내용은 *AWS Control Tower 사용 설명서*의 [Security Hub CSPM 제어](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)를 참조하세요.
## 표준 생성
이 표준은 Security Hub CSPM 제어를 활성화한 경우에만 Security Hub CSPM에서 사용할 수 있습니다 AWS Control Tower. AWS Control Tower 는 다음 방법 중 하나를 사용하여 적용 가능한 제어를 처음 활성화할 때 표준을 생성합니다.
+ AWS Control Tower 콘솔
+ AWS Control Tower API([https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API 호출)
+ AWS CLI ([https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)명령 실행)
를 통해 Security Hub CSPM 제어를 활성화할 때 Security Hub CSPM을 아직 활성화하지 않은 AWS Control Tower경우는 해당 특정 계정 및 리전에서 Security Hub CSPM AWS Control Tower 도 활성화합니다.
Control Catalog에서 제어 ID로 Security Hub CSPM 제어를 식별하려면의 필드를 사용할 수 `Implementation.Identifier` 있습니다 AWS Control Tower. 이 필드는 Security Hub CSPM 제어 ID에 매핑되며 특정 제어 ID를 필터링하는 데 사용할 수 있습니다. 에서 특정 Security Hub CSPM 제어(예: "CodeBuild.1")에 대한 제어 메타데이터를 검색하려면 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API를 사용할 AWS Control Tower수 있습니다.
`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Security Hub CSPM 콘솔, Security Hub CSPM API에서 또는 먼저 위의 방법 중 하나를 AWS Control Tower 사용하여 Security Hub CSPM 제어를 설정하고 AWS Control Tower 활성화하지 AWS CLI 않으면이 표준을 보거나 액세스할 수 없습니다.
이 표준은를 사용할 수 [AWS 리전 있는 에서만 사용할 수 AWS Control Tower 있습니다](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).
## 표준의 제어 활성화 및 비활성화
를 통해 Security Hub CSPM 제어를 활성화 AWS Control Tower 하고 서비스 관리형 표준: AWS Control Tower 표준이 생성된 후 Security Hub CSPM에서 표준 및 사용 가능한 제어를 볼 수 있습니다.
Security Hub CSPM이 서비스 관리형 표준: AWS Control Tower 표준에 새 제어를 추가하면 표준이 활성화된 고객에게 자동으로 활성화되지 않습니다. 다음 방법 중 하나를 AWS Control Tower 사용하여에서 표준에 대한 제어를 활성화 및 비활성화해야 합니다.
+ AWS Control Tower 콘솔
+ AWS Control Tower API( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html) 및 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs 호출)
+ AWS CLI ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html) 및 [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html) 명령 실행)
에서 제어의 활성화 상태를 변경하면 변경 AWS Control Tower사항이 Security Hub CSPM에도 반영됩니다.
그러나 Security Hub CSPM에서 제어를 비활성화하면 제어 드리프트가 AWS Control Tower 발생합니다. 의 제어 상태는 로 AWS Control Tower 표시됩니다`Drifted`. [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html) API를 사용하여 드리프트에 있는 컨트롤을 재설정하거나 AWS Control Tower 콘솔에서 [OU 재등록](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)을 선택하거나 위의 방법 중 하나를 AWS Control Tower 사용하여에서 컨트롤을 비활성화하고 다시 활성화하여이 드리프트를 해결할 수 있습니다.
에서 활성화 및 비활성화 작업을 완료하면 제어 드리프트를 방지하는 AWS Control Tower 데 도움이 됩니다.
에서 제어를 활성화하거나 비활성화하면 AWS Control Tower작업이 관리되는 계정 및 리전에 적용됩니다 AWS Control Tower. Security Hub CSPM에서 제어를 활성화 및 비활성화하는 경우(이 표준에서는 권장되지 않음) 작업은 현재 계정 및 리전에만 적용됩니다.
**참고**
[중앙 구성](central-configuration-intro.md)은 서비스 관리형 표준을 관리하는 데 사용할 수 없습니다 AWS Control Tower. 이 표준에서는 AWS Control Tower 서비스*만* 사용하여 제어를 활성화 및 비활성화할 수 있습니다.
## 활성화 상태 및 제어 상태 보기
다음 방법 중 하나를 사용하여 제어의 활성화 상태를 볼 수 있습니다.
+ Security Hub CSPM 콘솔, Security Hub CSPM API 또는 AWS CLI
+ AWS Control Tower 콘솔
+ AWS Control Tower 활성화된 제어 목록을 볼 수 있는 API([https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API 호출)
+ AWS CLI 활성화된 제어 목록을 보려면([https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)명령 실행)
Security Hub CSPM에서 해당 제어를 명시적으로 활성화하지 않는 한 `Disabled`에서 비활성화한 제어 AWS Control Tower 는 Security Hub CSPM에서 활성화 상태가 입니다.
Security Hub CSPM은 제어 조사 결과의 워크플로 상태 및 규정 준수 상태를 기반으로 제어 상태를 계산합니다. 활성화 상태 및 제어 상태에 대한 자세한 내용은 [Security Hub CSPM에서 제어 세부 정보 검토](securityhub-standards-control-details.md) 섹션을 참조하세요.
Security Hub CSPM은 제어 상태를 기반으로 서비스 관리형 표준의 [보안 점수를](standards-security-score.md) 계산합니다 AWS Control Tower. 이 점수는 Security Hub CSPM에서만 사용할 수 있습니다. 또한 Security Hub CSPM에서는 [제어 조사 결과](controls-findings-create-update.md)만 볼 수 있습니다. 표준 보안 점수 및 제어 조사 결과는에서 사용할 수 없습니다 AWS Control Tower.
**참고**
서비스 관리형 표준:에 대한 제어를 활성화하면 AWS Control Tower Security Hub CSPM이 기존 AWS Config 서비스 연결 규칙을 사용하는 제어에 대한 조사 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. Security Hub CSPM에서 다른 표준 및 제어를 활성화한 경우, 기존 서비스 연결 규칙이 있을 수 있습니다. 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 단원을 참조하십시오.
## 표준 삭제
다음 방법 중 하나를 사용하여 적용 가능한 모든 제어를 비활성화 AWS Control Tower 하여에서이 서비스 관리형 표준을 삭제할 수 있습니다.
+ AWS Control Tower 콘솔
+ AWS Control Tower API([https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API 호출)
+ AWS CLI ([https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)명령 실행)
모든 제어를 비활성화하면 AWS Control Tower의 모든 관리 계정 및 관리되는 리전의 표준이 삭제됩니다. 에서 표준을 삭제하면 Security Hub CSPM 콘솔의 **표준** 페이지에서 AWS Control Tower 제거되며 Security Hub CSPM API 또는를 사용하여 더 이상 액세스할 수 없습니다 AWS CLI.
**참고**
Security Hub CSPM의 표준에서 모든 제어를 비활성화해도 표준이 비활성화되거나 삭제되지는 않습니다.
Security Hub CSPM 서비스를 비활성화하면 서비스 관리형 표준 AWS Control Tower 및 활성화한 기타 표준이 제거됩니다.
## 서비스 관리형 표준의 결과 필드 형식: AWS Control Tower
서비스 관리형 표준을 생성하고 이에 대한 제어를 AWS Control Tower 활성화하면 Security Hub CSPM에서 제어 조사 결과를 수신하기 시작합니다. Security Hub CSPM은 제어 조사 결과를 [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md)으로 보고합니다. 다음은 이 표준의 Amazon 리소스 이름(ARN) 및 `GeneratorId`에 대한 ASFF 값입니다.
+ **표준 ARN** – `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`
서비스 관리형 표준:에 대한 샘플 결과는 섹션을 AWS Control Tower참조하세요[제어 조사 결과 샘플](sample-control-findings.md).
## 서비스 관리형 표준에 적용되는 제어: AWS Control Tower
서비스 관리형 표준: AWS 기반 보안 모범 사례(FSBP) 표준의 일부인 제어의 하위 집합을 AWS Control Tower 지원합니다. 실패 조사 결과에 대한 문제 해결 단계를 포함하여 이에 대한 정보를 보려면 제어를 선택하세요.
어떤 Security Hub CSPM 제어가 지원되는 AWS Control Tower지 확인하려면 다음 방법 중 하나를 사용할 수 있습니다.
+ AWS 필터링할 수 있는 Control Catalog 콘솔 `“Control owner = AWS Security Hub”`
+ AWS 에서 `Implementations` 확인할 필터가 있는 Control Catalog API([https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API 호출)는 `Types`입니다. `AWS::SecurityHub::SecurityControl`
+ AWS CLI 용 필터를 사용하여 ([https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)명령 실행) `Implementations` CLI 명령 예제:
`aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Control Tower 표준을 통해 활성화된 경우 Security Hub CSPM 제어에 대한 리전별 제한은 기본 제어에 대한 리전별 제한과 일치하지 않을 수 있습니다.
Security Hub CSPM에서 계정에서 [통합 제어 조사 결과가](controls-findings-create-update.md#consolidated-control-findings) 꺼져 있는 경우 생성된 조사 결과의 `ProductFields.ControlId` 필드는 표준 기반 제어 ID를 사용합니다. 표준 기반 제어 ID는 **CT.*ControlId***(예제: **CT.CodeBuild.1**)로 형식이 지정됩니다.
이 표준에 대한 자세한 내용은 *AWS Control Tower 사용 설명서*의 [Security Hub CSPM 제어](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)를 참조하세요.