As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Limites regionais em controles do CSPM do Security Hub
Alguns controles CSPM do AWS Security Hub não estão disponíveis em todos. Regiões da AWS Esta página especifica quais controles não estão disponíveis em regiões específicas.
No console do CSPM do Security Hub, um controle não aparece na lista de controles se não estiver disponível na região em que você estiver conectado no momento. A exceção é uma região de agregação. Se você configurar uma região de agregação e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.
Regiões da AWS
Leste dos EUA (Norte da Virgínia)
Não há suporte para os controles a seguir na região Leste dos EUA (Norte da Virgínia).
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
Leste dos EUA (Ohio)
Não há suporte para os controles a seguir na região Leste dos EUA (Ohio).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Oeste dos EUA (N. da Califórnia)
Não há suporte para os controles a seguir na região Oeste dos EUA (N. da Califórnia).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Oeste dos EUA (Oregon)
Não há suporte para os controles a seguir na região Oeste dos EUA (Oregon).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
África (Cidade do Cabo)
Não há suporte para os controles a seguir na região África (Cidade do Cabo).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Hong Kong)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Hong Kong).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Hyderabad)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Hyderabad).
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Jacarta)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Jacarta).
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Malásia)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Malásia).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[ECS.19] Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Melbourne)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Melbourne).
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Mumbai)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Mumbai).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Nova Zelândia)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Nova Zelândia).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.3] Os estágios da API Gateway REST da API devem terAWS X-Rayrastreamento ativado
-
[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
-
[APIGateway.5] API Gateway REST Os dados do cache da API devem ser criptografados em repouso
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
-
[ECS.19] Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a umAWS WAFweb ACL
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
-
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
-
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.13] Os instantâneos do cluster Redshift devem ser marcados
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas porAWS Systems Manager
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.1]AWS Transfer Familyfluxos de trabalho devem ser marcados
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Osaka)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Osaka).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Seul)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Seul).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Singapura)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Singapura).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Sydney)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Sydney).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Taipei)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Taipei).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.3] Os estágios da API Gateway REST da API devem terAWS X-Rayrastreamento ativado
-
[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
-
[APIGateway.5] API Gateway REST Os dados do cache da API devem ser criptografados em repouso
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints VPC criados para o serviço Amazon EC2
-
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.33] Os anexos do EC2 Transit Gateway devem ser marcados
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados
-
[EC2.47] Os serviços de endpoint do Amazon VPC devem ser marcados
-
[EC2.48] Os registros de fluxo da Amazon VPC devem ser marcados
-
[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
-
[ECS.19] Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
-
[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a umAWS WAFweb ACL
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada
-
[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[ES.5] Os domínios do Elasticsearch devem ter o registro de auditoria ativado
-
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.28] Os clusters de banco de dados do RDS devem ser marcados
-
[RDS.29] Os instantâneos do cluster de banco de dados do RDS devem ser marcados
-
[RDS.30] As instâncias de banco de dados do RDS devem ser marcadas
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.32] Os instantâneos do banco de dados do RDS devem ser marcados
-
[RDS.33] Os grupos de sub-redes do banco de dados do RDS devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
-
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
-
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso comAWS KMS keys
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas porAWS Systems Manager
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
[Transfer.1]AWS Transfer Familyfluxos de trabalho devem ser marcados
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Tailândia)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Tailândia).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
-
[ECS.19] Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.1]AWS Transfer Familyfluxos de trabalho devem ser marcados
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Ásia-Pacífico (Tóquio)
Não há suporte para os controles a seguir na região Ásia-Pacífico (Tóquio).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Canadá (Central)
Não há suporte para os controles a seguir na região Canadá (Central).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Oeste do Canadá (Calgary)
Não há suporte para os controles a seguir na região Oeste do Canadá (Calgary).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
China (Pequim)
Não há suporte para os controles a seguir na região China (Pequim).
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.20] Ambos os túneis VPN para umAWSSite-to-Site A conexão VPN deve estar ativa
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.7] Os clusters do RDS devem ter a proteção contra exclusão ativada
-
[RDS.12] A autenticação do IAM deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.28] Os clusters de banco de dados do RDS devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
China (Ningxia)
Não há suporte para os controles a seguir na região China (Ningxia).
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.20] Ambos os túneis VPN para umAWSSite-to-Site A conexão VPN deve estar ativa
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Lambda.1] As políticas da função Lambda devem proibir o acesso público
-
[Lambda.2] As funções Lambda devem usar tempos de execução compatíveis
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Europa (Frankfurt)
Não há suporte para os controles a seguir na região Europa (Frankfurt).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Europa (Irlanda)
Não há suporte para os controles a seguir na região Europa (Irlanda).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Europa (Londres)
Não há suporte para os controles a seguir na região Europa (Londres).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
Europa (Milão)
Não há suporte para os controles a seguir na região Europa (Milão).
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Europa (Paris)
Não há suporte para os controles a seguir na região Europa (Paris).
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Europa (Espanha)
Não há suporte para os controles a seguir na região Europa (Espanha).
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.1] Os snapshots do Amazon EBS não devem ser configurados para serem restauráveis publicamente
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Lambda.1] As políticas da função Lambda devem proibir o acesso público
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Europa (Estocolmo)
Não há suporte para os controles a seguir na região Europa (Estocolmo).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Europa (Zurique)
Não há suporte para os controles a seguir na região Europa (Zurique).
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Israel (Tel Aviv)
Não há suporte para os controles a seguir na região Israel (Tel Aviv).
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.29] Os instantâneos do cluster de banco de dados do RDS devem ser marcados
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
México (Centro)
Não há suporte para os controles a seguir na região México (Central).
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DataSync.1] DataSync as tarefas devem ter o registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção de exclusão ativada
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
-
[ECS.19] Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EFS.7] Os sistemas de arquivos EFS devem ter backups automáticos habilitados
-
[EFS.8] Os sistemas de arquivos EFS devem ser criptografados em repouso
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de senhas do IAM expire as senhas em 90 dias ou menos
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Kinesis.3] Os Kinesis Streams devem ter um período de retenção de dados adequado
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch
-
[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito
-
[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
-
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
-
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.13] Os instantâneos do cluster Redshift devem ser marcados
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.7] Os buckets de uso geral do S3 devem usar replicação entre regiões
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.19] Os pontos de acesso S3 devem ter as configurações de bloqueio de acesso público ativadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[Transfer.2] Os servidores Transfer Family não devem usar o protocolo FTP para conexão de endpoints
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Oriente Médio (Bahrein)
Não há suporte para os controles a seguir na região Oriente Médio (Bahrein).
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.20] Ambos os túneis VPN para umAWSSite-to-Site A conexão VPN deve estar ativa
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientesAWS KMS keys
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
-
[FSx.4] O FSx para sistemas de arquivos NetApp ONTAP deve ser configurado para implantação Multi-AZ
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
Oriente Médio (Emirados Árabes Unidos)
Não há suporte para os controles a seguir na região Oriente Médio (Emirados Árabes Unidos).
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[Backup.1]AWS Backupos pontos de recuperação devem ser criptografados em repouso
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada
-
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints DMS para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints DMS para Redis OSS devem ter o TLS habilitado
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EC2.180] As interfaces de rede EC2 devem ter a source/destination verificação ativada
-
[EC2.181] Os modelos de lançamento do EC2 devem permitir a criptografia para volumes anexados do EBS
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EKS.9] Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.4]AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis doAWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] O MFA deve ser habilitado para todos os usuários do IAM que tenham uma senha de console
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada
-
[Inspector.1] A digitalização do Amazon Inspector EC2 deve estar ativada
-
[Inspector.2] O escaneamento ECR do Amazon Inspector deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Lambda.7] As funções Lambda devem terAWS X-Rayrastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[MSK.4] Os clusters MSK devem ter o acesso público desativado
-
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[Opensearch.10] os OpenSearch domínios devem ter a atualização de software mais recente instalada
-
[Opensearch.11] os OpenSearch domínios devem ter pelo menos três nós primários dedicados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.18] Os clusters do Redshift devem ter Multi-AZ implantações habilitadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
América do Sul (São Paulo)
Não há suporte para os controles a seguir na região América do Sul (São Paulo).
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
AWS GovCloud (US-East)
Os controles a seguir não são compatíveis com a AWS GovCloud (US-East) região.
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.2] Os grupos de identidades do Cognito não devem permitir identidades não autenticadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Connect.2] As instâncias do Connect Customer devem ter o CloudWatch registro ativado
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.47] Os serviços de endpoint do Amazon VPC devem ser marcados
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[Glue.3]AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.26] SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[SSM.6] A automação SSM deve ter o CloudWatch registro ativado
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas
-
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
-
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
AWS GovCloud (US-West)
Os controles a seguir não são compatíveis com a AWS GovCloud (US-West) região.
-
[Account.1] As informações de contato de segurança devem ser fornecidas para umConta da AWS
-
[Account.2]Contas da AWSdeve fazer parte de umAWS Organizationsorganização
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
-
[APIGateway.11] Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
-
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
-
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
-
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] CloudFront as distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[CloudWatch.17] ações CloudWatch de alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] CodeBuild Os registros do S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registroAWS Configduração
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Cognito.3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
-
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
-
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.22] Grupos de segurança não utilizados do Amazon EC2 devem ser removidos
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.170] Os modelos de lançamento do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos ElastiCache de replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos ElastiCache de replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos ElastiCache de replicação devem ser criptografados em trânsito
-
[ElastiCache.7] ElastiCache os clusters não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[FSx.2] Os sistemas de arquivos FSx for Lustre devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
-
[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
-
[GuardDuty.9] A proteção GuardDuty do RDS deve estar ativada
-
[GuardDuty.11] O monitoramento GuardDuty do tempo de execução deve estar ativado
-
[GuardDuty.12] O monitoramento de tempo GuardDuty de execução do ECS deve estar ativado
-
[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
-
[IAM.6] O MFA de hardware deve estar habilitado para o usuário root
-
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
-
[Inspector.3] A digitalização de código do Amazon Inspector Lambda deve estar ativada
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[Kinesis.1] Os streams do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do broker
-
[MSK.2] Os clusters MSK devem ter um monitoramento aprimorado configurado
-
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada
-
[Opensearch.1] os OpenSearch domínios devem ter a criptografia em repouso ativada
-
[Opensearch.2] os OpenSearch domínios não devem ser acessíveis ao público
-
[Opensearch.3] os OpenSearch domínios devem criptografar os dados enviados entre os nós
-
[Opensearch.4] OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado
-
[Opensearch.5] os OpenSearch domínios devem ter o registro de auditoria ativado
-
[Opensearch.6] os OpenSearch domínios devem ter pelo menos três nós de dados
-
[Opensearch.7] os OpenSearch domínios devem ter um controle de acesso refinado ativado
-
[PCA.1]CA privada da AWSa autoridade de certificação raiz deve ser desativada
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia TLS para conexões
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[RDS.51] Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL
-
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.13] Os instantâneos do cluster Redshift devem ser marcados
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA ativada
-
[S3.25] Os buckets de diretório S3 devem ter configurações de ciclo de vida
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado
-
[SES.3] Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails
-
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
-
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados
-
[WAF.1]AWS WAFO registro clássico do Global Web ACL deve estar ativado
-
[WAF.2]AWS WAFAs regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3]AWS WAFOs grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4]AWS WAFAs ACLs regionais clássicas da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.6]AWS WAFAs regras globais clássicas devem ter pelo menos uma condição
-
[WAF.7]AWS WAFOs grupos de regras globais clássicos devem ter pelo menos uma regra
-
[WAF.8]AWS WAFAs ACLs web globais clássicas devem ter pelo menos uma regra ou grupo de regras
-
[WAF.10]AWS WAFas ACLs da web devem ter pelo menos uma regra ou grupo de regras
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas