Limites regionais de controles

[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[ECR.4] repositórios ECR públicos devem ser marcados

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

[RDS.1] o RDS instantâneo deve ser privado

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado

[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.19] MFA deve ser ativado para todos os usuários IAM

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.2] As instâncias de RDS banco de dados devem proibir o acesso público, conforme determinado pela duração PubliclyAccessible AWS Config

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados

[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host

[ECS.4] os ECS contêineres devem ser executados sem privilégios

[ECS.5] os ECS contêineres devem ser limitados ao acesso somente de leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[ECS.10] Os serviços do ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] os ECS clusters devem usar o Container Insights

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[ELB.12] O Application Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[EC2.52] gateways EC2 de trânsito devem ser marcados

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.1] As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[EKS.6] os EKS clusters devem ser marcados

[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas

[EKS.8] os EKS clusters devem ter o registro de auditoria ativado

[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.2] Os clusters ElastiCache (RedisOSS) devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação ElastiCache (RedisOSS) devem ter o failover automático ativado

[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

[IAM.6] O hardware MFA deve estar habilitado para o usuário root

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

[IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config

[IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula

[IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula

[IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo

[IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número

[IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais

[IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas

[IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.19] MFA deve ser ativado para todos os usuários IAM

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.1] o RDS instantâneo deve ser privado

[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado

[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[SSM.4] SSM documentos não devem ser públicos

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados

[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.7] a criptografia EBS padrão deve estar ativada

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[EC2.52] gateways EC2 de trânsito devem ser marcados

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.1] As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.

[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host

[ECS.4] os ECS contêineres devem ser executados sem privilégios

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[ECS.10] Os serviços do ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] os ECS clusters devem usar o Container Insights

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.4] a chave de acesso do usuário IAM root não deve existir

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[KMS.3] não AWS KMS keys deve ser excluído acidentalmente

[Lambda.1] As funções do Lambda.1 devem proibir o acesso público

[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis

[Lambda.3] As funções Lambda devem estar em um VPC

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

[RDS.1] o RDS instantâneo deve ser privado

[RDS.4] os instantâneos RDS do cluster e os instantâneos do banco de dados devem ser criptografados em repouso

[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[ACM.3] os ACM certificados devem ser marcados

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.9] CloudTrail trilhas devem ser marcadas

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.5] As tabelas do DynamoDB devem ser marcadas

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.35] interfaces EC2 de rede devem ser marcadas

[EC2.36] os gateways EC2 do cliente devem ser marcados

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

[EC2.38] as EC2 instâncias devem ser marcadas

[EC2.39] gateways de EC2 internet devem ser marcados

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.41] a EC2 rede ACLs deve ser marcada

[EC2.42] tabelas de EC2 rotas devem ser marcadas

[EC2.43] grupos EC2 de segurança devem ser marcados

[EC2.44] EC2 sub-redes devem ser marcadas

[EC2.45] EC2 volumes devem ser marcados

[EC2.46] Amazon VPCs deve ser etiquetada

[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas

[EC2.50] EC2 VPN gateways devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[EC2.52] gateways EC2 de trânsito devem ser marcados

[EC2.53] grupos de EC2 segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração remota do servidor

[EC2.54] grupos EC2 de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.1] As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.

[ECS.13] ECS os serviços devem ser marcados

[ECS.14] os ECS clusters devem ser marcados

[ECS.15] as definições de ECS tarefas devem ser marcadas

[EFS.5] os pontos de EFS acesso devem ser marcados

[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública

[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes

[EKS.6] os EKS clusters devem ser marcados

[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.1] GuardDuty deve ser ativado

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado

[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada

[IAM.6] O hardware MFA deve estar habilitado para o usuário root

[IAM.9] MFA deve ser habilitado para o usuário root

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.2] Os streams do Kinesis devem ser marcados

[Lambda.6] As funções Lambda devem ser marcadas

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados

[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.25] instâncias RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados

[RDS.30] As instâncias de RDS banco de dados devem ser marcadas

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados

[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados

[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster somente de origens restritas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado

[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto

[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SecretsManager.3] Remover segredos não utilizados do Secrets Manager

[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.2] as SQS filas devem ser marcadas

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[ACM.3] os ACM certificados devem ser marcados

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.9] CloudTrail trilhas devem ser marcadas

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.5] As tabelas do DynamoDB devem ser marcadas

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.35] interfaces EC2 de rede devem ser marcadas

[EC2.36] os gateways EC2 do cliente devem ser marcados

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

[EC2.38] as EC2 instâncias devem ser marcadas

[EC2.39] gateways de EC2 internet devem ser marcados

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.41] a EC2 rede ACLs deve ser marcada

[EC2.42] tabelas de EC2 rotas devem ser marcadas

[EC2.43] grupos EC2 de segurança devem ser marcados

[EC2.44] EC2 sub-redes devem ser marcadas

[EC2.45] EC2 volumes devem ser marcados

[EC2.46] Amazon VPCs deve ser etiquetada

[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas

[EC2.50] EC2 VPN gateways devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[EC2.52] gateways EC2 de trânsito devem ser marcados

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.1] As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.

[ECS.13] ECS os serviços devem ser marcados

[ECS.14] os ECS clusters devem ser marcados

[ECS.15] as definições de ECS tarefas devem ser marcadas

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública

[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes

[EKS.6] os EKS clusters devem ser marcados

[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.1] GuardDuty deve ser ativado

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado

[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada

[IAM.6] O hardware MFA deve estar habilitado para o usuário root

[IAM.9] MFA deve ser habilitado para o usuário root

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.2] Os streams do Kinesis devem ser marcados

[Lambda.1] As funções do Lambda.1 devem proibir o acesso público

[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis

[Lambda.3] As funções Lambda devem estar em um VPC

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Lambda.6] As funções Lambda devem ser marcadas

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados

[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.25] instâncias RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados

[RDS.30] As instâncias de RDS banco de dados devem ser marcadas

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados

[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados

[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster somente de origens restritas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SecretsManager.3] Remover segredos não utilizados do Secrets Manager

[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.2] as SQS filas devem ser marcadas

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.12] os ECS clusters devem usar o Container Insights

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[KMS.3] não AWS KMS keys deve ser excluído acidentalmente

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

[RDS.1] o RDS instantâneo deve ser privado

[RDS.4] os instantâneos RDS do cluster e os instantâneos do banco de dados devem ser criptografados em repouso

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda

[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente

[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

[EC2.7] a criptografia EBS padrão deve estar ativada

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado

[ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

[IAM.4] a chave de acesso do usuário IAM root não deve existir

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.19] MFA deve ser ativado para todos os usuários IAM

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[KMS.4] a rotação de AWS KMS teclas deve estar ativada

[Lambda.1] As funções do Lambda.1 devem proibir o acesso público

[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis

[Lambda.3] As funções Lambda devem estar em um VPC

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.1] o RDS instantâneo deve ser privado

[RDS.2] As instâncias de RDS banco de dados devem proibir o acesso público, conforme determinado pela duração PubliclyAccessible AWS Config

[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada

[RDS.4] os instantâneos RDS do cluster e os instantâneos do banco de dados devem ser criptografados em repouso

[RDS.5] As instâncias de RDS banco de dados devem ser configuradas com várias zonas de disponibilidade

[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada

[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch

[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS

[RDS.11] as RDS instâncias devem ter backups automáticos habilitados

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado

[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda

[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

[IAM.4] a chave de acesso do usuário IAM root não deve existir

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.19] MFA deve ser ativado para todos os usuários IAM

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.1] o RDS instantâneo deve ser privado

[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada

[RDS.5] As instâncias de RDS banco de dados devem ser configuradas com várias zonas de disponibilidade

[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[ACM.1] Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] EC2 NAT gateways devem ser marcados

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

[EC2.52] gateways EC2 de trânsito devem ser marcados

[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada

[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] repositórios ECR públicos devem ser marcados

[ECS.1] As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.

[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

[EFS.5] os pontos de EFS acesso devem ser marcados

[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública

[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes

[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes

[EKS.6] os EKS clusters devem ser marcados

[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas

[EKS.8] os EKS clusters devem ter o registro de auditoria ativado

[ELB.1] O Application Load Balancer deve ser configurado para HTTP redirecionar todas as solicitações para HTTPS

[ELB.2] Os balanceadores de carga clássicos com HTTPS ouvintesSSL/devem usar um certificado fornecido por AWS Certificate Manager

[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

[ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada

[ELB.8] Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

[ELB.13] Os balanceadores de carga de aplicativos, redes e gateways devem abranger várias zonas de disponibilidade

[ELB.14] O Classic Load Balancer deve ser configurado com o modo de mitigação de dessincronização defensivo ou mais rigoroso

[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL

[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados

[ElastiCache.2] Os clusters ElastiCache (RedisOSS) devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação ElastiCache (RedisOSS) devem ter o failover automático ativado

[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH

[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[GuardDuty.1] GuardDuty deve ser ativado

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

[IAM.4] a chave de acesso do usuário IAM root não deve existir

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

[IAM.6] O hardware MFA deve estar habilitado para o usuário root

[IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

[IAM.9] MFA deve ser habilitado para o usuário root

[IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config

[IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula

[IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula

[IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo

[IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número

[IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais

[IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas

[IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

[IAM.19] MFA deve ser ativado para todos os usuários IAM

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] IAM funções devem ser marcadas

[IAM.25] IAM usuários devem ser marcados

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os streams do Kinesis devem ser marcados

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar ativado

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada

[MQ.4] Os corretores do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança mais recente TLS

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[RDS.1] o RDS instantâneo deve ser privado

[RDS.4] os instantâneos RDS do cluster e os instantâneos do banco de dados devem ser criptografados em repouso

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup

[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso

[RDS.28] Os clusters de RDS banco de dados devem ser marcados

[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura

[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SES.1] as listas de SES contatos devem ser marcadas

[SES.2] conjuntos SES de configuração devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS

[SNS.3] os SNS tópicos devem ser marcados

[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso

[SQS.2] as SQS filas devem ser marcadas

[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

[SSM.4] SSM documentos não devem ser públicos

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[ECR.4] repositórios ECR públicos devem ser marcados

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FSx.1] FSx para sistemas de ZFS arquivos abertos, deve ser configurado para copiar tags para backups e volumes

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[GuardDuty.1] GuardDuty deve ser ativado

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada

[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada

[RDS.12] a IAM autenticação deve ser configurada para clusters RDS

[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado

[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade

[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots

[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado

[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Route53.1] As verificações de saúde do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.2] RSA os certificados gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront as distribuições devem ter o registro ativado

[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

[CloudFront.14] as CloudFront distribuições devem ser marcadas

[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] os DMS certificados devem ser marcados

[DMS.3] as assinaturas de DMS eventos devem ser marcadas

[DMS.4] instâncias de DMS replicação devem ser marcadas

[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados

[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada

[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado

[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado

[DMS.9] os DMS endpoints devem usar SSL

[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM

[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados