As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Desabilitação de controles no CSPM do Security Hub
<a name="disable-controls-overview"></a>

Para reduzir o ruído de descobertas, pode ser útil desabilitar os controles que não sejam relevantes para o seu ambiente. No AWS Security Hub CSPM, você pode desativar um controle em todos os padrões de segurança ou somente em padrões específicos. 

Se você desabilita um controle em todos os padrões, ocorre o seguinte:
+ As verificações de segurança do controle não são mais realizadas.
+ Não são geradas descobertas adicionais para o controle.
+ As descobertas existentes não são mais atualizadas para o controle.
+ As descobertas existentes para o controle são arquivadas automaticamente, normalmente dentro de 3 a 5 dias, com base no melhor esforço.
+ O Security Hub CSPM remove todas AWS Config as regras relacionadas que ele criou para o controle.

Se você desabilitar um controle somente para padrões específicos, o CSPM do Security Hub interromperá a execução de verificações de segurança para o controle somente para esses padrões. Isso também removerá o controle dos [cálculos da pontuação de segurança](standards-security-score.md) de cada um desses padrões. Se o controle estiver habilitado em outros padrões, o CSPM do Security Hub reterá a regra do AWS Config associada, se aplicável, e continuará executando verificações de segurança para o controle dos outros padrões. O CSPM do Security Hub também inclui o controle ao calcular a pontuação de segurança para cada um dos outros padrões, o que afeta sua pontuação de segurança resumida.

Se você desabilitar um padrão, todos os controles que se aplicam ao padrão serão desabilitados automaticamente. No entanto, os controles podem continuar estando habilitados em outros padrões. Quando você desabilita um padrão, o CSPM do Security Hub não rastreia quais controles foram desabilitados pra o padrão. Como consequência, se você voltar a habilitar o mesmo padrão posteriormente, todos os controles aplicáveis a ele serão automaticamente habilitados. Para informações sobre como desativar um padrão, consulte [Desabilitar um padrão](disable-standards.md).

Desabilitar um controle não é uma ação permanente. Suponha que você desabilite um controle e, em seguida, habilite um padrão que inclua o controle. O controle será, então, habilitado para esse padrão. Quando você habilita um padrão no CSPM do Security Hub, todos os controles que se aplicam ao padrão são automaticamente habilitados. Para obter informações sobre a habilitação de um padrão, consulte [Habilitar um padrão](enable-standards.md).

**Topics**
+ [Desabilitar um controle em todos os padrões](disable-controls-across-standards.md)
+ [Habilitar um controle em um padrão específico](disable-controls-standard.md)
+ [Sugestões de controles a serem desabilitados](controls-to-disable.md)

# Desabilitar um controle em todos os padrões
<a name="disable-controls-across-standards"></a>

Recomendamos desativar um controle CSPM do AWS Security Hub em todos os padrões para manter o alinhamento em toda a organização. Se você desabilitar um controle em padrões específicos, continuará recebendo descobertas para o controle se ele estiver habilitado em outros padrões.

## Desabilitação de vários padrões, em várias contas e regiões
<a name="disable-controls-all-standards-central-configuration"></a>

Para desativar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve usar a [configuração central](central-configuration-intro.md).

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, você pode associar a política de configuração a OUs contas específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

## Desabilitação de vários padrões em uma única conta e região
<a name="disable-controls-all-standards"></a>

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível desabilitar um controle em uma única conta e região.

------
#### [ Security Hub CSPM console ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**.

1. Escolha a opção ao lado de um controle.

1. Escolha **Desabilitar controle**. Essa opção não aparecerá para um controle que já esteja desabilitado.

1. Forneça um motivo para desativar o controle e confirme escolhendo **Desativar**.

1. Repita em cada região na qual deseja desabilitar o controle.

------
#### [ Security Hub CSPM API ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Repita em cada região na qual deseja desabilitar o controle.

------
#### [ AWS CLI ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Repita em cada região na qual deseja desabilitar o controle.

------

# Habilitar um controle em um padrão específico
<a name="disable-controls-standard"></a>

É possível desabilitar um controle somente em padrões de segurança específicos, em vez de em todos os padrões. Se o controle se aplicar a outros padrões habilitados, o AWS Security Hub CSPM continuará executando verificações de segurança para o controle e você continuará recebendo descobertas para o controle.

Porém, recomendamos alinhar o status de habilitação de um controle em todos os padrões habilitados. Para obter informações sobre como desabilitar um controle em todos os padrões aos quais ele se aplica, consulte [Desabilitar um controle em todos os padrões](disable-controls-across-standards.md).

Na página de detalhes do padrão, você também pode desabilitar controles em padrões específicos. Você deve desativar os controles em padrões específicos separadamente em cada Conta da AWS Região da AWS e. Quando você habilita ou desabilita um controle, ele afeta apenas a conta e a região atuais.

Escolha seu método preferido e siga estas etapas para desabilitar um controle em um ou mais padrões específicos.

------
#### [ Security Hub CSPM console ]

**Para desabilitar um controle em um padrão específico**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Selecione **Padrões de segurança** no painel de navegação. Escolha **Exibir resultados** para o respectivo padrão.

1. Selecione um controle.

1. Escolha **Desabilitar controle**. Essa opção não aparecerá para um controle que já esteja desabilitado.

1. Forneça um motivo para desativar o controle e confirme escolhendo **Desativar**.

------
#### [ Security Hub CSPM API ]

**Para desabilitar um controle em um padrão específico**

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Essa API retorna controle de segurança independente do padrão IDs, não controle específico do padrão. IDs

   **Exemplo de solicitação:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Executar `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Forneça o ARN do padrão no qual você deseja desativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Para desabilitar um controle em um padrão específico**

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute `describe-standards`. Esse comando retorna o controle de segurança independente do padrão IDs, não o controle específico do padrão. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Forneça o ARN do padrão no qual você deseja desativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Sugestões de controles a serem desabilitados no CSPM do Security Hub
<a name="controls-to-disable"></a>

Recomendamos desativar alguns controles CSPM do AWS Security Hub para reduzir o ruído de localização e os custos de uso.

## Controles que usam recursos globais
<a name="controls-to-disable-global-resources"></a>

Alguns Serviços da AWS oferecem suporte a recursos globais, o que significa que você pode acessar o recurso de qualquer um Região da AWS. Para economizar no custo de AWS Config, você pode desativar o registro de recursos globais em todas as regiões, exceto em uma. Depois de fazer isso, contudo, o CSPM do Security Hub ainda executará verificações de segurança em todas as regiões em que os controles estejam habilitados e fará a cobrança com base no número de verificações por conta por região. Assim, para reduzir o ruído nas descobertas e economizar no custo do CSPM do Security Hub, é necessário desabilitar também os controles que envolvam recursos globais em todas as regiões, exceto na região que os registra.

Se um controle envolve recursos globais, mas está disponível somente em uma região, desabilitá-lo nessa região impede que você obtenha descobertas para o recurso subjacente. Nesse caso, recomendamos que você mantenha o controle habilitado. Ao usar a agregação entre regiões, a região na qual o controle está disponível deve ser a região de agregação ou uma das regiões vinculadas. Os controles a seguir envolvem recursos globais, mas estão disponíveis somente em uma única região:
+ **Todos os CloudFront controles** — Disponível somente na região Leste dos EUA (Norte da Virgínia)
+ **GlobalAccelerator.1** — Disponível somente na região Oeste dos EUA (Oregon)
+ **Route53.2:** disponível apenas na região Leste dos EUA (Norte da Virgínia)
+ **WAF.1, WAF.6, WAF.7, and WAF.8**: disponíveis apenas na região Leste dos EUA (Norte da Virgínia)

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter mais informações sobre a configuração central, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Para controles que possuem um tipo de programação *periódico*, é necessário desabilitá-los no CSPM do Security Hub para evitar o faturamento. Definir o AWS Config parâmetro como `false` não afeta `includeGlobalResourceTypes` os controles CSPM periódicos do Security Hub.

Os controles do CSPM do Security Hub a seguir usam recursos globais:
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
+ [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
+ [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
+ [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
+ [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)
+ [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
+ [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
+ [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
+ [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
+ [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
+ [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
+ [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)
+ [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
+ [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24)
+ [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)
+ [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1)
+ [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2)
+ [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)
+ [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)
+ [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6)
+ [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7)
+ [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8)

## CloudTrail controles de registro
<a name="controls-to-disable-cloudtrail-logging"></a>

O controle [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) avalia o uso de AWS Key Management Service (AWS KMS) para AWS CloudTrail criptografar registros de trilhas. Se você registrar essas trilhas em uma conta de registro centralizada, precisará ativar esse controle somente na conta e Região da AWS onde o registro centralizado ocorre.

Se você usar a [configuração central](central-configuration-intro.md), o status de habilitação de um controle será alinhado entre a região inicial e as regiões vinculadas. Você não pode desabilitar um controle em algumas regiões e habilitá-lo em outras. Nesse caso, você pode suprimir as descobertas do controle CloudTrail .2 para reduzir o ruído de localização.

## CloudWatch controles de alarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Se você preferir usar a Amazon GuardDuty para detecção de anomalias em vez dos CloudWatch alarmes da Amazon, você pode desativar os seguintes controles, que se CloudWatch concentram nos alarmes:
+ [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)