Controles do Security Hub para Amazon EC2

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (AmazonEC2).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : ebs-snapshot-public-restorable-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os instantâneos do Amazon Elastic Block Store não são públicos. O controle falhará se os EBS snapshots da Amazon puderem ser restaurados por qualquer pessoa.

EBSos snapshots são usados para fazer backup dos dados em seus EBS volumes no Amazon S3 em um momento específico. Você pode usar os instantâneos para restaurar os estados anteriores dos EBS volumes. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.

Correção

Para tornar um EBS instantâneo público privado, consulte Compartilhar um instantâneo no Guia EC2 do usuário da Amazon. Em Ações, modificar permissões, escolha Privado.

[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, v3.2.1/2.1, Foundations Benchmark PCI DSS v1.2.0/4.3, Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, CIS AWS (21),, (11), (16), (21), CIS AWS (4), (5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-default-security-group-closed

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o grupo de segurança padrão de a VPC permite tráfego de entrada ou saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.

As regras do grupo de segurança padrão permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como EC2 instâncias.

Correção

Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte Criar um grupo de segurança no Guia VPC do usuário da Amazon. Em seguida, atribua os novos grupos de segurança às suas EC2 instâncias. Para obter instruções, consulte Alterar o grupo de segurança de uma instância no Guia EC2 do usuário da Amazon.

Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte Configurar regras de grupos de segurança no Guia VPC do usuário da Amazon.

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EC2::Volume

Regra do AWS Config : encrypted-volumes

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os EBS volumes que estão em um estado anexado estão criptografados. Para passar nessa verificação, EBS os volumes devem estar em uso e criptografados. Se o EBS volume não estiver conectado, ele não estará sujeito a essa verificação.

Para uma camada adicional de segurança de seus dados confidenciais em EBS volumes, você deve ativar a EBS criptografia em repouso. A EBS criptografia da Amazon oferece uma solução de criptografia simples para seus EBS recursos que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa KMS chaves ao criar volumes e instantâneos criptografados.

Para saber mais sobre a EBS criptografia da Amazon, consulte a EBScriptografia da Amazon no Guia EC2 do usuário da Amazon.

Correção

Não há uma maneira direta de criptografar um volume ou instantâneo existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.

Se você habilitou a criptografia por padrão, a Amazon EBS criptografa o novo volume ou snapshot resultante usando sua chave padrão para a criptografia da AmazonEBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, você pode substituir a chave padrão da EBS criptografia da Amazon e escolher uma chave simétrica gerenciada pelo cliente.

Para obter mais informações, consulte Como criar um EBS volume da Amazon e copiar um EBS snapshot da Amazon no Guia do EC2 usuário da Amazon.

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-stopped-instance

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`AllowedDays`	Número de dias em que a EC2 instância pode ficar em um estado interrompido antes de gerar uma descoberta com falha.	Inteiro	`1` para `365`	`30`

Esse controle verifica se uma EC2 instância da Amazon foi interrompida por mais tempo do que o número permitido de dias. O controle falhará se uma EC2 instância for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período de tempo máximo permitido, o Security Hub usará um valor padrão de 30 dias.

Quando uma EC2 instância não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS ambiente. Para manter com segurança uma EC2 instância ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois a interrompa após a manutenção. Idealmente, esse deve ser um processo automatizado.

Correção

Para encerrar uma EC2 instância inativa, consulte Encerrar uma instância no Guia do usuário da Amazon EC2.

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.9, Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, CIS AWS v3.2.1/10.3.6, (26),, PCI DSS .800-53.r5 SI-7 (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::EC2::VPC

Regra do AWS Config : vpc-flow-logs-enabled

Tipo de programação: Periódico

Parâmetros:

trafficType: REJECT (não personalizável)

Esse controle verifica se os Amazon VPC Flow Logs foram encontrados e habilitados paraVPCs. O tipo de tráfego está definido como Reject. O controle falhará se os registros de VPC fluxo não estiverem ativados VPCs em sua conta.

nota

Esse controle não verifica se os Amazon VPC Flow Logs estão habilitados por meio do Amazon Security Lake para Conta da AWS o.

Com o recurso VPC Flow Logs, você pode capturar informações sobre o tráfego de endereço IP que entra e sai das interfaces de rede em seuVPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3.

O Security Hub recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade do tráfego de rede que atravessa o VPC e podem detectar tráfego anômalo ou fornecer informações durante os fluxos de trabalho de segurança.

Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte VPCFlow Logs no Guia VPC do usuário da Amazon.

Correção

Para criar um registro VPC de fluxo, consulte Criar um registro de fluxo no Guia VPC do usuário da Amazon. Depois de abrir o VPC console da Amazon, escolha Seu VPCs. Em Filtrar, escolha Rejeitar ou Todos.

[EC2.7] a criptografia EBS padrão deve estar ativada

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : ec2-ebs-encryption-by-default

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para o Amazon Elastic Block Store (AmazonEBS). O controle falhará se a criptografia no nível da conta não estiver ativada.

Quando a criptografia está habilitada para sua conta, os EBS volumes e as cópias de snapshot da Amazon são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.

Observe que os seguintes tipos de instância não oferecem suporte à criptografia: R1, C1 e M1.

Correção

Para configurar a criptografia padrão para EBS volumes da Amazon, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3,, v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 PCI DSS

Categoria: Proteger > Segurança de rede

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-imdsv2-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a versão de metadados da EC2 instância está configurada com o Instance Metadata Service Version 2 ()IMDSv2. O controle passa se HttpTokens estiver definido como necessário paraIMDSv2. O controle falha se HttpTokens estiver definido como optional.

Você usa os metadados da instância para configurar ou gerenciar a instância em execução. IMDSFornece acesso a credenciais temporárias, frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é anexado localmente a cada EC2 instância. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.

A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o. IMDS

Firewalls de aplicativos de sites abertos
Proxies reversos abertos
Vulnerabilidades de falsificação de solicitações do lado do servidor () SSRF
Firewalls de camada 3 abertos e tradução de endereços de rede () NAT

O Security Hub recomenda que você configure suas EC2 instâncias comIMDSv2.

Correção

Para configurar EC2 instâncias comIMDSv2, consulte Caminho recomendado para a solicitação IMDSv2 no Guia EC2 do usuário da Amazon.

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-instance-no-public-ip

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se EC2 as instâncias têm um endereço IP público. O controle falhará se o publicIp campo estiver presente no item de configuração da EC2 instância. Esse controle se aplica somente aos IPv4 endereços.

Um IPv4 endereço público é um endereço IP que pode ser acessado pela Internet. Se você iniciar sua instância com um endereço IP público, ela EC2 poderá ser acessada pela Internet. Um IPv4 endereço privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar IPv4 endereços privados para comunicação entre EC2 instâncias na mesma rede privada VPC ou na sua rede privada conectada.

IPv6os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobreIPv6, consulte o endereço IP VPC em seu Guia do VPC usuário da Amazon.

Se você tiver um caso de uso legítimo para manter EC2 instâncias com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte o blog de AWS arquitetura ou a série de AWS vídeos da série This Is My Architecture.

Correção

Use um endereço IP não padrão VPC para que sua instância não receba um endereço IP público por padrão.

Quando você executa uma EC2 instância em um padrãoVPC, ela recebe um endereço IP público. Quando você executa uma EC2 instância em uma instância não padrãoVPC, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se novas EC2 instâncias na sub-rede recebem um endereço IP público do pool de IPv4 endereços públicos.

Você pode desassociar um endereço IP público atribuído automaticamente da sua instância. EC2 Para obter mais informações, consulte IPv4Endereços públicos e DNS nomes de host externos no Guia do EC2 usuário da Amazon.

[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2

Categoria: Proteger > Configuração de rede segura > acesso API privado

Severidade: média

Tipo de recurso: AWS::EC2::VPC

Regra do AWS Config : service-vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

serviceName: ec2 (não personalizável)

Esse controle verifica se um endpoint de serviço para a Amazon foi EC2 criado para cada umVPC. O controle falhará se VPC não tiver um VPC endpoint criado para o EC2 serviço da Amazon.

Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Como AWS Config o Security Hub não realiza verificações entre contas, você verá VPCs que FAILED as descobertas são compartilhadas entre contas. O Security Hub recomenda que você suprima essas descobertas FAILED.

Para melhorar sua postura de segurançaVPC, você pode configurar a Amazon EC2 para usar um VPC endpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite que você acesse EC2 API as operações da Amazon de forma privada. Ele restringe todo o tráfego de rede entre você VPC e EC2 a Amazon à rede Amazon. Como os endpoints são suportados somente na mesma região, você não pode criar um endpoint entre um VPC e um serviço em uma região diferente. Isso evita EC2 API chamadas não intencionais da Amazon para outras regiões.

Para saber mais sobre a criação de VPC endpoints para a AmazonEC2, consulte Amazon EC2 e VPC endpoints de interface no Guia EC2 do usuário da Amazon.

Correção

Para criar um endpoint de interface para a Amazon a EC2 partir do VPC console da Amazon, consulte Criar um VPC endpoint no AWS PrivateLink Guia. Em Nome do serviço, escolha com.amazonaws. region.ec2.

Você também pode criar e anexar uma política de endpoint ao seu VPC endpoint para controlar o acesso à Amazon. EC2 API Para obter instruções sobre como criar uma política de VPC endpoint, consulte Criar uma política de endpoint no Guia EC2 do usuário da Amazon.

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST .800-53.r5 CM-8 (1)

Categoria: Proteger > Configuração de rede segura

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

Regra do AWS Config : eip-attached

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os endereços IP elásticos (EIP) alocados a a VPC estão vinculados a EC2 instâncias ou interfaces de rede elástica em uso ()ENIs.

Uma falha na descoberta indica que você pode não ter usado EC2EIPs.

Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados do titular do cartão (CDE).

Correção

Para liberar um não utilizadoEIP, consulte Liberar um endereço IP elástico no Guia do EC2 usuário da Amazon.

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), (21), NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 AC-4, (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 v4.0.1/1.3.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : restricted-ssh

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. Remover a conectividade irrestrita a serviços de console remoto, comoSSH, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22.

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.2, v4.0.1/1.3.1 PCI DSS

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada érestricted-rdp)

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. Remover a conectividade irrestrita a serviços de console remoto, comoRDP, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia VPC do usuário da Amazon. Depois de selecionar um grupo de segurança no Amazon VPC Console, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 3389.

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Categoria: Proteger > Segurança de rede

Severidade: média

Tipo de recurso: AWS::EC2::Subnet

Regra do AWS Config : subnet-auto-assign-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a atribuição de público IPs nas sub-redes da Amazon Virtual Private Cloud (AmazonVPC) foi definida como. MapPublicIpOnLaunch FALSE O controle é aprovado se o sinalizador estiver definido como FALSE.

Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público. IPv4 As instâncias que são executadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à interface de rede primária.

Correção

Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia VPC do usuário da Amazon. Desmarque a caixa de seleção Ativar atribuição automática de IPv4 endereço público.

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

Requisitos relacionados: NIST .800-53.r5 CM-8 (1), v4.0.1/1.2.7 PCI DSS

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

Regra do AWS Config : vpc-network-acl-unused-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se há alguma lista de controle de acesso à rede não utilizada (redeACLs) em sua nuvem privada virtual (VPC). O controle falhará se a rede ACL não estiver associada a uma sub-rede. O controle não gera descobertas para uma rede ACL padrão não utilizada.

O controle verifica a configuração do item do recurso AWS::EC2::NetworkAcl e determina os relacionamentos da redeACL.

Se o único relacionamento for o VPC da redeACL, o controle falhará.

Se outros relacionamentos estiverem listados, o controle será aprovado.

Correção

Para obter instruções sobre como excluir uma rede não utilizadaACL, consulte Excluindo uma rede ACL no Guia do usuário da Amazon VPC. Você não pode excluir a rede padrão ACL ou uma ACL que esteja associada às sub-redes.

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-instance-multiple-eni-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma EC2 instância usa várias Elastic Network Interfaces (ENIs) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os permitidosENIs. Esse controle também falhará se uma EC2 instância pertencente a um EKS cluster da Amazon usar mais de umENI. Se suas EC2 instâncias precisarem ter várias ENIs como parte de um EKS cluster da Amazon, você poderá suprimir essas descobertas de controle.

Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.

Correção

Para separar uma interface de rede de uma EC2 instância, consulte Separar uma interface de rede de uma instância no Guia do EC2usuário da Amazon.

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`authorizedTcpPorts`	Lista de TCP portas autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	`[80,443]`
`authorizedUdpPorts`	Lista de UDP portas autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	Nenhum valor padrão

Esse controle verifica se um grupo de EC2 segurança da Amazon permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da forma a seguir:

Se você usar o valor padrão para authorizedTcpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443.
Se você fornecer valores personalizados para authorizedTcpPorts ou authorizedUdpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada.
Se nenhum parâmetro for usado, o controle falhará em qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrita.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída para AWS. As regras do grupo de segurança devem seguir o princípio do acesso de privilégio mínimo. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.

Correção

Para modificar um grupo de segurança, consulte Trabalhar com grupos de segurança no Guia VPC do usuário da Amazon.

[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Acesso restrito à rede

Severidade: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada évpc-sg-restricted-common-ports)

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (não personalizável)

Esse controle verifica se o tráfego de entrada irrestrito de um grupo EC2 de segurança da Amazon está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
10 (POP3)
135 (RPC)
143 () IMAP
45 () CIFS
1433, 1434 () MSSQL
3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
3306 (my) SQL
389 () RDP
4333 (ahsp)
5000 (estruturas de desenvolvimento web em Python)
5432 (PostgreSQL)
500 (fcp-addr-srvr1)
5601 (Painéis) OpenSearch
8080 (proxy)
8088 (HTTPporta antiga)
8888 (HTTPporta alternativa)
9200 ou 9300 () OpenSearch

Correção

Para excluir regras de um grupo de segurança, consulte Excluir regras de um grupo de segurança no Guia EC2 do usuário da Amazon.

[EC2.20] Ambos os VPN túneis de uma AWS Site-to-Site VPN conexão devem estar ativos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso:AWS::EC2::VPNConnection

Regra do AWS Config : vpc-vpn-2-tunnels-up

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Um VPN túnel é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de uma AWS Site-to-Site VPN conexão. Cada VPN conexão inclui dois VPN túneis que você pode usar simultaneamente para alta disponibilidade. Garantir que os dois VPN túneis estejam prontos para uma VPN conexão é importante para confirmar uma conexão segura e altamente disponível entre um AWS VPC e sua rede remota.

Esse controle verifica se os dois VPN túneis fornecidos por AWS Site-to-Site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem em DOWN status.

Correção

Para modificar as opções de VPN túnel, consulte Modificar opções de Site-to-Site VPN túnel no Guia do AWS Site-to-Site VPN usuário.

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1),, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (5), v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso:AWS::EC2::NetworkAcl

Regra do AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma lista de controle de acesso à rede (redeACL) permite acesso irrestrito às TCP portas padrão para o tráfego SSH RDP /ingress. O controle falhará se a ACL entrada de rede permitir um CIDR bloco de origem de '0.0.0.0/0' ou ': :/0' para as portas 22 ou 3389. TCP O controle não gera descobertas para uma rede padrãoACL.

O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos dentro do seu. VPC

Correção

Para editar as regras de ACL tráfego de rede, consulte Trabalhar com rede ACLs no Guia VPC do usuário da Amazon.

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

Importante

RETIREDFROMSPECIFICSTANDARDS— O Security Hub removeu esse controle em 20 de setembro de 2023 do padrão AWS Foundational Security Best Practices e do NIST SP 800-53 Rev. 5. Esse controle ainda faz parte do Service-Managed Standard:. AWS Control Tower Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a EC2 instâncias ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. Você pode usar outros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 e EC2 .19, para monitorar seus grupos de segurança.

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Regra do AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os grupos de segurança estão conectados às instâncias do Amazon Elastic Compute Cloud (AmazonEC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma EC2 instância da Amazon ou a uma interface de rede elástica.

Correção

Para criar, atribuir e excluir grupos de segurança, consulte Grupos de segurança no guia EC2 do usuário da Amazon.

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso:AWS::EC2::TransitGateway

Regra do AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os gateways de EC2 trânsito estão aceitando automaticamente VPC anexos compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações de VPC anexos compartilhados.

A ativação AutoAcceptSharedAttachments configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de VPC anexação entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse recurso para garantir que somente solicitações de VPC anexação autorizadas sejam aceitas.

Correção

Para modificar um gateway de trânsito, consulte Modificar um gateway de trânsito no Amazon VPC Developer Guide.

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: média

Tipo de recurso:AWS::EC2::Instance

Regra do AWS Config : ec2-paravirtual-instance-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o tipo de virtualização de uma EC2 instância é paravirtual. O controle falhará se o virtualizationType da EC2 instância estiver definido comoparavirtual.

O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (). HVM As principais diferenças entre o PV e o PV HVM AMIs são a maneira pela qual eles inicializam e se podem tirar proveito de extensões de hardware especiais (CPUrede e armazenamento) para obter melhor desempenho.

Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que HVM os hóspedes em muitos casos, mas devido aos aprimoramentos na HVM virtualização e à disponibilidade de drivers fotovoltaicos HVMAMIs, isso não é mais verdade. Para obter mais informações, consulte os tipos de AMI virtualização Linux no Guia do EC2 usuário da Amazon.

Correção

Para atualizar uma EC2 instância para um novo tipo de instância, consulte Alterar o tipo de instância no Guia EC2 do usuário da Amazon.

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso:AWS::EC2::LaunchTemplate

Regra do AWS Config : ec2-launch-template-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os modelos de EC2 lançamento da Amazon estão configurados para atribuir endereços IP públicos às interfaces de rede no lançamento. O controle falhará se um modelo de EC2 execução estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.

Um endereço IP público é aquele que é acessível pela internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. EC2os recursos não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas cargas de trabalho.

Correção

Para atualizar um modelo de EC2 lançamento, consulte Alterar as configurações padrão da interface de rede no Guia do usuário do Amazon EC2 Auto Scaling.

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

Categoria: Recuperação > Resiliência > Backups ativados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

AWS Config regra: ebs-resources-protected-by-backup-plan

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`backupVaultLockCheck`	O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como `true` e o recurso usar o AWS Backup Vault Lock.	Booleano	`true` ou `false`	Nenhum valor padrão

Esse controle avalia se um EBS volume da Amazon no in-use estado está coberto por um plano de backup. O controle falhará se um EBS volume não for coberto por um plano de backup. Se você definir o backupVaultLockCheck parâmetro igual atrue, o controle passará somente se o EBS volume for copiado em um cofre AWS Backup trancado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir EBS volumes da Amazon em um plano de backup ajuda você a proteger seus dados contra perda ou exclusão não intencional.

Correção

Para adicionar um EBS volume da Amazon a um plano de AWS Backup backup, consulte Atribuição de recursos a um plano de backup no Guia do AWS Backup desenvolvedor.

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayAttachment

Regra AWS Config : tagged-ec2-transitgatewayattachment (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um anexo do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um anexo de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayRouteTable

Regra AWS Config : tagged-ec2-transitgatewayroutetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma tabela de rotas do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de rotas de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.35] interfaces EC2 de rede devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkInterface

Regra AWS Config : tagged-ec2-networkinterface (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma interface EC2 de rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma interface EC2 de rede, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.36] os gateways EC2 do cliente devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::CustomerGateway

Regra AWS Config : tagged-ec2-customergateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 cliente da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway EC2 do cliente, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

Regra AWS Config : tagged-ec2-eip (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um endereço IP EC2 elástico da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um endereço IP EC2 elástico, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.38] EC2 instâncias devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

Regra AWS Config : tagged-ec2-instance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma EC2 instância da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 instância, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.39] gateways de EC2 internet devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::InternetGateway

Regra AWS Config : tagged-ec2-internetgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 internet da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da internet não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 internet, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.40] EC2 NAT gateways devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NatGateway

Regra AWS Config : tagged-ec2-natgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de tradução de endereços de EC2 rede (NAT) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o NAT gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o NAT gateway não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 NAT gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.41] a EC2 rede ACLs deve ser marcada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

Regra AWS Config : tagged-ec2-networkacl (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma lista de controle de acesso à EC2 rede (redeACL) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a rede ACL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a rede ACL não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 redeACL, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.42] tabelas de EC2 rotas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::RouteTable

Regra AWS Config : tagged-ec2-routetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma tabela de EC2 rotas da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de EC2 rotas, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.43] grupos EC2 de segurança devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::SecurityGroup

Regra AWS Config : tagged-ec2-securitygroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um grupo EC2 de segurança da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um grupo EC2 de segurança, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.44] EC2 sub-redes devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Subnet

Regra AWS Config : tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma EC2 sub-rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se a sub-rede não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 sub-rede, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.45] EC2 volumes devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

Regra AWS Config : tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um EC2 volume da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 volume, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.46] Amazon VPCs deve ser etiquetada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPC

Regra AWS Config : tagged-ec2-vpc (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma Amazon Virtual Private Cloud (AmazonVPC) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a Amazon VPC não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a umVPC, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCEndpointService

Regra AWS Config : tagged-ec2-vpcendpointservice (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um serviço de VPC endpoint da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um serviço de VPC endpoint da Amazon, consulte Gerenciar tags na seção Configurar um serviço de endpoint do AWS PrivateLink Guia.

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::FlowLog

Regra AWS Config : tagged-ec2-flowlog (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um log de VPC fluxo da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o log de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um registro de VPC fluxo da Amazon, consulte Marcar um registro de fluxo no Guia VPC do usuário da Amazon.

[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCPeeringConnection

Regra AWS Config : tagged-ec2-vpcpeeringconnection (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma conexão de VPC emparelhamento da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a conexão de emparelhamento não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma conexão de VPC emparelhamento da Amazon, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.50] EC2 VPN gateways devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPNGateway

Regra AWS Config : tagged-ec2-vpngateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um EC2 VPN gateway da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o VPN gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o VPN gateway não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 VPN gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST NIST PCI DSS

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::EC2::ClientVpnEndpoint

AWS Config regra: ec2-client-vpn-connection-log-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um AWS Client VPN endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.

VPNOs endpoints do cliente permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual () VPC em. AWS Os registros de conexão permitem que você acompanhe a atividade do usuário no VPN endpoint e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um stream de log, o VPN serviço Client cria um para você.

Correção

Para ativar o registro de conexão, consulte Habilitar o registro de conexão para um VPN endpoint de cliente existente no Guia do AWS Client VPN administrador.

[EC2.52] gateways EC2 de trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGateway

Regra AWS Config : tagged-ec2-transitgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	`No default value`

Esse controle verifica se um gateway de EC2 trânsito da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway NAT não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.53] grupos de EC2 segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração remota do servidor

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.2, v4.0.1/1.3.1 PCI DSS

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão de IP	String	Não personalizável	`IPv4`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permite a entrada de 0.0.0.0/0 na porta 22 ou 3389.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para os recursos. AWS Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração do servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.

Correção

Para atualizar uma regra EC2 de grupo de segurança para proibir o tráfego de entrada nas portas especificadas, consulte Atualizar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22 ou 3389.

[EC2.54] grupos EC2 de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.3, v4.0.1/1.3.1 PCI DSS

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão de IP	String	Não personalizável	`IPv6`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de: :/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de ::/0 na porta 22 ou 3389.

Correção

[EC2.55] VPCs deve ser configurado com um endpoint de interface para ECR API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecr.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon ECRAPI. O controle falhará se VPC não houver um VPC endpoint de interface para ECRAPI. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink VPC de suas instalações locais, sem usar o público IPs e sem exigir que o tráfego atravesse a Internet.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecr.dkr`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Docker Registry. O controle falhará se VPC não houver um VPC endpoint de interface para o Docker Registry. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Systems Manager. O controle falhará se VPC não houver um VPC endpoint de interface para o Systems Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm-contacts`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para os contatos do AWS Systems Manager Incident Manager. O controle falhará se VPC não houver um VPC endpoint de interface para os contatos do Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm-incidents`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o AWS Systems Manager Incident Manager. O controle falhará se VPC não houver um VPC endpoint de interface para o Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.61] VPCs deve ser configurado com um endpoint de interface para Systems Manager Quick Setup

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm-quicksetup`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Configuração AWS Systems Manager rápida. O controle falhará se VPC não houver um VPC endpoint de interface para o Systems Manager Quick Setup. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.62] VPCs deve ser configurado com um endpoint de interface para Logs CloudWatch

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`logs`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon CloudWatch Logs. O controle falhará se VPC não tiver um VPC endpoint de interface para CloudWatch Logs. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.63] VPCs deve ser configurado com um endpoint de interface para Systems Manager Messages

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssmmessages`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Systems Manager mensagens. O controle falhará se VPC não houver um VPC endpoint de interface para as mensagens do Systems Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.64] VPCs deve ser configurado com um endpoint de interface para o Serviço de Entrega de Mensagens

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ec2messages`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Message Delivery Service. O controle falhará se VPC não houver um VPC endpoint de interface para o Serviço de Entrega de Mensagens. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.65] VPCs deve ser configurado com um endpoint de interface para Secrets Manager

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`secretsmanager`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Secrets Manager. O controle falhará se VPC não houver um VPC endpoint de interface para o Secrets Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.66] VPCs deve ser configurado com um endpoint de interface para o Gateway API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`execute-api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon API Gateway. O controle falhará se VPC não houver um VPC endpoint de interface para o API Gateway. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.67] VPCs deve ser configurado com um endpoint de interface para CloudWatch

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`monitoring`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon CloudWatch. O controle falhará se VPC não houver um VPC endpoint de interface para CloudWatch. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.68] VPCs deve ser configurado com um endpoint de interface para AWS KMS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`kms`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS KMS. O controle falhará se VPC não houver um VPC endpoint de interface para AWS KMS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.69] VPCs deve ser configurado com um endpoint de interface para SQS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sqs`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonSQS. O controle falhará se VPC não houver um VPC endpoint de interface paraSQS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.70] VPCs deve ser configurado com um endpoint de interface para STS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sts`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS STS. O controle falhará se VPC não houver um VPC endpoint de interface paraSTS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.71] VPCs deve ser configurado com um endpoint de interface para SNS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sns`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonSNS. O controle falhará se VPC não houver um VPC endpoint de interface paraSNS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.72] VPCs deve ser configurado com um endpoint de interface para S3

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`s3`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon S3. O controle falhará se VPC não houver um VPC endpoint de interface para o S3. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.73] VPCs deve ser configurado com um endpoint de interface para Lambda

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`lambda`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Lambda. O controle falhará se VPC não houver um VPC endpoint de interface para o Lambda. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.74] VPCs deve ser configurado com um endpoint de interface para ECS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecs`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonECS. O controle falhará se VPC não houver um VPC endpoint de interface paraECS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.75] VPCs deve ser configurado com um endpoint de interface para o Elastic Load Balancing

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticloadbalancing`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Elastic Load Balancing. O controle falhará se VPC não houver um VPC endpoint de interface para o Elastic Load Balancing. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.76] VPCs deve ser configurado com um endpoint de interface para CloudFormation

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`cloudformation`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CloudFormation. O controle falhará se VPC não houver um VPC endpoint de interface para CloudFormation. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.77] VPCs deve ser configurado com um endpoint de interface para EventBridge

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`events`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon EventBridge. O controle falhará se VPC não houver um VPC endpoint de interface para EventBridge. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.78] VPCs deve ser configurado com um endpoint de interface para EC2 Auto Scaling

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`autoscaling`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon EC2 Auto Scaling. O controle falhará se VPC não houver um VPC endpoint de interface para EC2 Auto Scaling. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.79] VPCs deve ser configurado com um endpoint de interface para IA SageMaker API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sagemaker.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon SageMaker AIAPI. O controle falhará se VPC não houver um VPC endpoint de interface para EC2 SageMaker IAAPI. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.80] VPCs deve ser configurado com um endpoint de interface para o SageMaker AI Feature Store Runtime

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sagemaker.featurestore-runtime`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon SageMaker AI Feature Store Runtime. O controle falhará se VPC não houver um VPC endpoint de interface para o EC2 SageMaker AI Feature Store Runtime. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.81] VPCs deve ser configurado com um endpoint de interface para o SageMaker AI Metrics Service

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sagemaker.metrics`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon SageMaker AI Metrics Service. O controle falhará se VPC não houver um VPC endpoint de interface para o EC2 SageMaker AI Metrics Service. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.82] VPCs deve ser configurado com um endpoint de interface para SageMaker AI Runtime

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sagemaker.runtime`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon SageMaker AI Runtime. O controle falhará se VPC não houver um VPC endpoint de interface para o EC2 SageMaker AI Runtime. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.83] VPCs deve ser configurado com um endpoint de interface para SageMaker AI Runtime para FIPS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sagemaker.runtime-fips`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon SageMaker AI Runtime forFIPS. O controle falhará se VPC não houver um VPC endpoint de interface para o SageMaker AI Runtime forFIPS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.84] VPCs deve ser configurado com um endpoint de interface para notebook AI SageMaker

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`aws.sagemaker.region.notebook`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o notebook Amazon SageMaker AI. O controle falhará se VPC ele não tiver um VPC endpoint de interface para o notebook SageMaker AI. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.85] VPCs deve ser configurado com um endpoint de interface para SageMaker o AI Studio

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`aws.sagemaker.region.studio`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon SageMaker AI Studio. O controle falhará se VPC não houver um VPC endpoint de interface para o SageMaker AI Studio. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.86] VPCs deve ser configurado com um endpoint de interface para AWS Glue

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`glue`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Glue. O controle falhará se VPC não houver um VPC endpoint de interface para AWS Glue. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.87] VPCs deve ser configurado com um endpoint de interface para o Kinesis Data Streams

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`kinesis-streams`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Kinesis Data Streams. O controle falhará se VPC não houver um VPC endpoint de interface para o Kinesis Data Streams. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.88] VPCs deve ser configurado com um endpoint de interface para Transfer Family for SFTP

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`transfer`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface AWS Transfer Family para SFTP for. O controle falhará se VPC não houver um VPC endpoint de interface para Transfer Family forSFTP. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.89] VPCs deve ser configurado com um endpoint de interface para CloudTrail

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`cloudtrail`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CloudTrail. O controle falhará se VPC não houver um VPC endpoint de interface para CloudTrail. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.90] VPCs deve ser configurado com um endpoint de interface para RDS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`rds`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonRDS. O controle falhará se VPC não houver um VPC endpoint de interface paraRDS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.91] VPCs deve ser configurado com um endpoint de interface para o Agente ECS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecs-agent`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon ECS Agent. O controle falhará se VPC não houver um VPC endpoint de interface para o ECS Agente. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.92] VPCs deve ser configurado com um endpoint de interface para telemetria ECS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecs-agent`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon ECS Telemetry. O controle falhará se VPC não houver um VPC endpoint de interface para ECS telemetria. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.93] VPCs deve ser configurado com um endpoint de interface para GuardDuty

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`guardduty-data`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon GuardDuty. O controle falhará se VPC não houver um VPC endpoint de interface para GuardDuty. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.94] VPCs deve ser configurado com um endpoint de interface para SES

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`email-smtp`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonSES. O controle falhará se VPC não houver um VPC endpoint de interface paraSES. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.95] VPCs deve ser configurado com um endpoint de interface para EFS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`email-smtp`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonEFS. O controle falhará se VPC não houver um VPC endpoint de interface paraEFS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.96] VPCs deve ser configurado com um endpoint de interface para Athena

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`athena`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Athena. O controle falhará se VPC não houver um VPC endpoint de interface para o Athena. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.97] VPCs deve ser configurado com um endpoint de interface para Firehose

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`kinesis-firehose`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Data Firehose. O controle falhará se VPC não houver um VPC endpoint de interface para o Firehose. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.98] VPCs deve ser configurado com um endpoint de interface para Step Functions

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`states`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Step Functions. O controle falhará se VPC não tiver um VPC endpoint de interface para Step Functions. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.99] VPCs deve ser configurado com um endpoint de interface para Storage Gateway

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`storagegateway`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Storage Gateway. O controle falhará se VPC não houver um VPC endpoint de interface para o Storage Gateway. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.100] VPCs deve ser configurado com um endpoint de interface para a Amazon MWAA

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`airflow.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Amazon Managed Workflows for Apache Airflow (Amazon). MWAA O controle falhará se VPC não houver um VPC endpoint de interface para a AmazonMWAA. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.101] VPCs deve ser configurado com um endpoint de interface para a Amazon para MWAA FIPS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`airflow.api-fips`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Amazon Managed Workflows for Apache Airflow (AmazonMWAA) for. FIPS O controle falhará se VPC não houver um VPC endpoint de interface para a Amazon MWAA forFIPS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.102] VPCs deve ser configurado com um endpoint de interface para o ambiente Amazon MWAA

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`airflow.env`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para um ambiente Amazon Managed Workflows for Apache Airflow (AmazonMWAA). O controle falhará se VPC não houver um VPC endpoint de interface para um MWAA ambiente Amazon. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.103] VPCs deve ser configurado com um endpoint de interface para o ambiente Amazon MWAA FIPS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`airflow.env-fips`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para um ambiente Amazon Managed Workflows for Apache Airflow (AmazonMWAA). FIPS O controle falhará se VPC não houver um VPC endpoint de interface para um MWAA FIPS ambiente Amazon. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.104] VPCs deve ser configurado com um endpoint de interface para a operadora Amazon MWAA

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`airflow.ops`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para um operador do Amazon Managed Workflows for Apache Airflow (AmazonMWAA). O controle falhará se VPC não houver um VPC endpoint de interface para uma MWAA operadora da Amazon. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.105] VPCs deve ser configurado com um endpoint de interface para DataSync

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`datasync`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS DataSync. O controle falhará se VPC não houver um VPC endpoint de interface para DataSync. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.106] VPCs deve ser configurado com um endpoint de interface para CodePipeline

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codepipeline`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodePipeline. O controle falhará se VPC não houver um VPC endpoint de interface para CodePipeline. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.107] VPCs deve ser configurado com um endpoint de interface para EKS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`eks`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonEKS. O controle falhará se VPC não houver um VPC endpoint de interface paraEKS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.108] VPCs deve ser configurado com um endpoint de interface direto EBS APIs

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ebs`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon EBS DirectAPIs. O controle falhará se VPC não houver um VPC endpoint de interface EBS diretoAPIs. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.109] VPCs deve ser configurado com um endpoint de interface para CodeCommit

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`git-codecommit`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeCommit. O controle falhará se VPC não houver um VPC endpoint de interface para CodeCommit. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.110] VPCs deve ser configurado com um endpoint de interface para X-Ray

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`xray`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS X-Ray. O controle falhará se VPC não houver um VPC endpoint de interface para X-Ray. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.111] VPCs deve ser configurado com um endpoint de interface para CodeBuild

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codebuild`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeBuild. O controle falhará se VPC não houver um VPC endpoint de interface para CodeBuild. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.112] VPCs deve ser configurado com um endpoint de interface para AWS Config

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`config`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Config. O controle falhará se VPC não houver um VPC endpoint de interface para AWS Config. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.113] VPCs deve ser configurado com um endpoint de interface para dados RDS API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`rds-data`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Amazon RDS DataAPI. O controle falhará se VPC não houver um VPC endpoint de interface para RDS dadosAPI. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.114] VPCs deve ser configurado com um endpoint de interface para Service Catalog

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`servicecatalog`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Service Catalog. O controle falhará se VPC não houver um VPC endpoint de interface para o Service Catalog. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.115] VPCs deve ser configurado com um endpoint de interface para a Amazon EMR

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticmapreduce`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonEMR. O controle falhará se VPC não houver um VPC endpoint de interface para a AmazonEMR. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.116] VPCs deve ser configurado com um endpoint de interface para CodeCommit

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codecommit`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.117] VPCs deve ser configurado com um endpoint de interface para o App Mesh

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`appmesh-envoy-management`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS App Mesh. O controle falhará se VPC não houver um VPC endpoint de interface para o App Mesh. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.118] VPCs deve ser configurado com um endpoint de interface para o Elastic Beanstalk

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticbeanstalk-health`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Elastic Beanstalk. O controle falhará se VPC não houver um VPC endpoint de interface para o Elastic Beanstalk. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.119] VPCs deve ser configurado com um endpoint de interface para AWS Private CA

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`acm-pca`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Private CA. O controle falhará se VPC não houver um VPC endpoint de interface para AWS Private CA. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.120] VPCs deve ser configurado com um endpoint de interface para ElastiCache

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticache`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon ElastiCache. O controle falhará se VPC não houver um VPC endpoint de interface para ElastiCache. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.121] VPCs deve ser configurado com um endpoint de interface para CodeArtifact API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codeartifact.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeArtifact API. O controle falhará se VPC não houver um VPC endpoint de interface para CodeArtifact API. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.122] VPCs deve ser configurado com um endpoint de interface para repositórios CodeArtifact

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codeartifact.repositories`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeArtifact repositórios. O controle falhará se VPC não houver um VPC endpoint de interface para CodeArtifact repositórios. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.123] VPCs deve ser configurado com um endpoint de interface para o Amazon Redshift

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`redshift`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Redshift. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Redshift. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.124] VPCs deve ser configurado com um endpoint de interface para CodeDeploy

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codedeploy`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeDeploy. O controle falhará se VPC não houver um VPC endpoint de interface para CodeDeploy. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.125] VPCs deve ser configurado com um endpoint de interface para o Amazon Managed Service for Prometheus

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`aps-workspaces`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Managed Service for Prometheus. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Managed Service for Prometheus. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.126] VPCs deve ser configurado com um endpoint de interface para Application Auto Scaling

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`application-autoscaling`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Application Auto Scaling. O controle falhará se VPC não houver um VPC endpoint de interface para o Application Auto Scaling. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.127] VPCs deve ser configurado com um endpoint de interface para pontos de acesso multirregionais S3

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`com.amazonaws.s3-global.accesspoint`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para pontos de acesso multirregionais do Amazon S3. O controle falhará se VPC não houver um VPC endpoint de interface para pontos de acesso multirregionais do S3. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.128] VPCs deve ser configurado com um endpoint de interface para Query AMB

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`managedblockchain-query`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon Managed Blockchain (AMB) Query. O controle falhará se VPC não houver um VPC endpoint de interface para o AMB Query. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.129] VPCs deve ser configurado com um endpoint de interface para Access Bitcoin AMB

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`managedblockchain.bitcoin.mainnet`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Managed Blockchain (AMB) Access Bitcoin. O controle falhará se VPC não houver um VPC endpoint de interface para o AMB Access Bitcoin. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.130] VPCs deve ser configurado com um endpoint de interface para Bitcoin Testnet AMB

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`managedblockchain.bitcoin.testnet`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Managed Blockchain (AMB) Bitcoin Testnet. O controle falhará se VPC não houver um VPC endpoint de interface para o AMB Bitcoin Testnet. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.131] VPCs deve ser configurado com um endpoint de interface para EFS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticfilesystem-fips`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.132] VPCs deve ser configurado com um endpoint de interface para AWS Backup

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`backup`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Backup. O controle falhará se VPC não houver um VPC endpoint de interface para AWS Backup. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.133] VPCs deve ser configurado com um endpoint de interface para DMS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`dms`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS DMS. O controle falhará se VPC não houver um VPC endpoint de interface paraDMS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.134] VPCs deve ser configurado com um endpoint de interface para CodeDeploy

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codedeploy-commands-secure`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.135] VPCs deve ser configurado com um endpoint de interface para a Amazon AppStream API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`appstream.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon AppStream API. O controle falhará se VPC não houver um VPC endpoint de interface para a Amazon AppStream API. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.136] VPCs deve ser configurado com um endpoint de interface para Amazon Streaming AppStream

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`appstream.streaming`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon AppStream Streaming. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon AppStream Streaming. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.137] VPCs deve ser configurado com um endpoint de interface para o Elastic Beanstalk

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elasticbeanstalk`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.138] VPCs deve ser configurado com um endpoint de interface para Conexões de código da AWS API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codeconnections.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Conexões de código da AWS API. O controle falhará se VPC não houver um VPC endpoint de interface para CodeConnections API. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.139] VPCs deve ser configurado com um endpoint de interface para conexões AWS CodeStar API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`codestar-connections.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CodeStar ConnectionsAPI. O controle falhará se VPC não houver um VPC endpoint de interface para AWS CodeStar ConnectionsAPI. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.140] VPCs deve ser configurado com um endpoint de interface para Amazon Redshift Data API

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`redshift-data`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Amazon Redshift API Data. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Redshift API Data. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.141] VPCs deve ser configurado com um endpoint de interface para o Amazon Textract

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`textract`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Textract. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Textract. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.142] VPCs deve ser configurado com um endpoint de interface para Keyspaces

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`cassandra`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para Amazon Keyspaces (para Apache Cassandra). O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Keyspaces. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.143] VPCs deve ser configurado com um endpoint de interface para AWS MGN

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`mgn`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Application Migration Service (AWS MGN). O controle falhará se VPC não houver um VPC endpoint de interface para AWS MGN. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.144] VPCs deve ser configurado com um endpoint de interface para Image Builder

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`imagebuilder`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon EC2 Image Builder. O controle falhará se VPC não houver um VPC endpoint de interface para o Image Builder. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.145] VPCs deve ser configurado com um endpoint de interface para Step Functions

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`sync-states`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o AWS Step Functions Image Builder. O controle falhará se VPC não tiver um VPC endpoint de interface para Step Functions. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.146] VPCs deve ser configurado com um endpoint de interface para Auto Scaling

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`autoscaling-plans`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Auto Scaling. O controle falhará se VPC não houver um VPC endpoint de interface para AWS Auto Scaling. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.147] VPCs deve ser configurado com um endpoint de interface para o Amazon Bedrock

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`bedrock-runtime`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Bedrock. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Bedrock. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.148] VPCs deve ser configurado com um endpoint de interface para Batch

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`batch`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Batch. O controle falhará se VPC não houver um VPC endpoint de interface para o Batch. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.149] VPCs deve ser configurado com um endpoint de interface para a Amazon EKS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`eks-auth`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.150] VPCs deve ser configurado com um endpoint de interface para o Amazon Comprehend

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`comprehend`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Comprehend. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Comprehend. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.151] VPCs deve ser configurado com um endpoint de interface para o App Runner

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`apprunner`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS App Runner. O controle falhará se VPC não houver um VPC endpoint de interface para o App Runner. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.152] VPCs deve ser configurado com um endpoint de interface para Serverless EMR

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`emr-serverless`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon EMR Serverless. O controle falhará se VPC não houver um VPC endpoint de interface para EMR Serverless. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.153] VPCs deve ser configurado com um endpoint de interface para Lake Formation

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`lakeformation`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Lake Formation. O controle falhará se VPC não houver um VPC endpoint de interface para o Lake Formation. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.154] VPCs deve ser configurado com um endpoint de interface para a Amazon FSx

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`fsx`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a AmazonFSx. O controle falhará se VPC não houver um VPC endpoint de interface para a AmazonFSx. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.155] VPCs deve ser configurado com um endpoint de interface para a Amazon em EMR EKS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`fsx`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para a Amazon EMR ativadoEKS. O controle falhará se VPC não houver um VPC endpoint de interface para a Amazon EMR ativadoEKS. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.156] VPCs deve ser configurado com um endpoint de interface para IoT Core Data

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`iot.data`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS IoT Core Data. O controle falhará se VPC não houver um VPC endpoint de interface para AWS IoT Core Data. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.157] VPCs deve ser configurado com um endpoint de interface para as credenciais principais de IoT

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`iot.credentials`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para as credenciais AWS IoT principais. O controle falhará se VPC não houver um VPC endpoint de interface para as credenciais AWS IoT principais. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.158] VPCs deve ser configurado com um endpoint de interface para o IoT Core Fleet Hub

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`iot.fleethub.api`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o AWS IoT Core Fleet Hub. O controle falhará se VPC não houver um VPC endpoint de interface para o AWS IoT Core Fleet Hub. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.159] VPCs deve ser configurado com um endpoint de interface para Elastic Disaster Recovery

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`drs`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Elastic Disaster Recovery. O controle falhará se VPC não houver um VPC endpoint de interface para o Elastic Disaster Recovery. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.160] VPCs deve ser configurado com um endpoint de interface para Cloud HSM

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`cloudhsmv2`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS CloudHSM. O controle falhará se VPC não houver um VPC endpoint de interface para o CloudHSM. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.161] VPCs deve ser configurado com um endpoint de interface para o Amazon Rekognition

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`rekognition`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Rekognition. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Rekognition. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.162] VPCs deve ser configurado com um endpoint de interface para o Amazon Managed Service for Prometheus

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`aps`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.163] VPCs deve ser configurado com um endpoint de interface para o Elastic Inference Runtime

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`elastic-inference.runtime`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Elastic Inference Runtime. O controle falhará se VPC não houver um VPC endpoint de interface para o Elastic Inference Runtime. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.164] VPCs deve ser configurado com um endpoint de interface para CloudWatch

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`synthetics`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.165] VPCs deve ser configurado com um endpoint de interface para o Amazon Bedrock

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`bedrock`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.166] VPCs deve ser configurado com um endpoint de interface para o Security Hub

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`securityhub`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para AWS Security Hub. O controle falhará se VPC não houver um VPC endpoint de interface para o Security Hub. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.167] VPCs deve ser configurado com um endpoint de interface para o DynamoDB

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`dynamodb`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon DynamoDB. O controle falhará se VPC não houver um VPC endpoint de interface para o DynamoDB. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.168] VPCs deve ser configurado com um endpoint de interface para o Access Analyzer

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`access-analyzer`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o IAM Access Analyzer. O controle falhará se VPC não houver um VPC endpoint de interface para o IAM Access Analyzer. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.168] VPCs deve ser configurado com um endpoint de interface para o Amazon Transcribe Medical

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`transcribe`
`vpcIds`	Opcional	Lista separada por vírgulas da Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com um ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um VPC endpoint de interface para o Amazon Transcribe Medical. O controle falhará se VPC não houver um VPC endpoint de interface para o Amazon Transcribe Medical. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface no AWS PrivateLink Guia.

[EC2.170] os modelos de EC2 lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: PCI DSS v4.0.1/2.2.6

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::LaunchTemplate

Regra do AWS Config : ec2-launch-template-imdsv2-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um modelo de EC2 lançamento da Amazon está configurado com o Instance Metadata Service versão 2 (IMDSv2). O controle falha se HttpTokens estiver definido como optional.

Executar os recursos em versões de software compatíveis garante a performance, a segurança e o acesso ideais aos recursos mais novos. Atualizações regulares protegem contra vulnerabilidades, o que ajuda a garantir uma experiência de usuário estável e eficiente.

Correção

Para solicitar um modelo IMDSv2 de EC2 lançamento, consulte Configurar as opções do serviço de metadados da instância no Guia do EC2 usuário da Amazon.

[EC2.171] EC2 VPN as conexões devem ter o registro ativado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.3, v4.0.1/10.4.2 PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::EC2::VPNConnection

Regra do AWS Config : ec2-vpn-connection-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma AWS Site-to-Site VPN conexão tem o Amazon CloudWatch Logs habilitado para os dois túneis. O controle falhará se uma Site-to-Site VPN conexão não tiver CloudWatch registros habilitados para os dois túneis.

AWS Site-to-Site VPNos registros fornecem uma visibilidade mais profunda de suas Site-to-Site VPN implantações. Com esse recurso, você tem acesso aos registros de Site-to-Site VPN conexão que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo de detecção de pares mortos (DPD). Site-to-SiteVPNos registros podem ser publicados no CloudWatch Logs. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas Site-to-Site VPN conexões.

Correção

Para ativar o registro de túneis em uma EC2 VPN conexão, consulte AWS Site-to-Site VPNos registros no Guia AWS Site-to-Site VPN do usuário.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles do Amazon DynamoDB

Controles do Amazon EC2 Auto Scaling