Referência de controles do Security Hub

Esta referência de controles fornece uma lista dos disponíveis AWS Security Hub controles com links para mais informações sobre cada controle. A tabela de visão geral exibe os controles em ordem alfabética por ID de controle. Somente os controles em uso ativo pelo Security Hub estão incluídos aqui. Os controles retirados são excluídos dessa lista. A tabela fornece as seguintes informações para cada controle:

ID de controle de segurança — Essa ID se aplica a todos os padrões e indica o AWS service (Serviço da AWS) e recurso ao qual o controle se relaciona. O console do Security Hub exibe o controle de segurançaIDs, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. No entanto, as descobertas do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs variam de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurançaIDs, consulte. Como a consolidação afeta o controle IDs e os títulos

Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.

O controle IDs pode pular números. Esses são espaços reservados para futuros controles.
Padrões aplicáveis: indica a quais padrões um controle se aplica. Selecione um controle para ver os requisitos específicos de estruturas de conformidade de terceiros.
Título de controle de segurança: esse título se aplica a todos os padrões. O console do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurançaIDs, consulte. Como a consolidação afeta o controle IDs e os títulos
Severidade: a severidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o Security Hub determina a severidade do controle, consulte Atribuir severidade às descobertas de controle.
Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.
Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Selecione um controle para ver os detalhes dos parâmetros. Para obter mais informações, consulte Entendendo os parâmetros de controle no Security Hub.

Selecione uma conexão para visualizar mais detalhes. Os controles são listados em ordem alfabética do nome do serviço.

ID do controle de segurança	Título de controle de segurança	Padrões aplicáveis	Gravidade	Oferece suporte a parâmetros personalizados	Tipo de programação
Account.1	As informações de contato de segurança devem ser fornecidas para um Conta da AWS	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
Account.2	Conta da AWS deve fazer parte de um AWS Organizations organização	NISTSP 800-53 Rev. 5	HIGH	Nº	Periódico
ACM.1	Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações e periódico
ACM.2	RSAcertificados gerenciados por ACM devem usar um comprimento de chave de pelo menos 2.048 bits	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Acionado por alterações
ACM.3	ACMcertificados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
APIGateway.1	APIO gateway REST e o registro de WebSocket API execução devem estar habilitados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
APIGateway.2	APIOs REST API estágios do gateway devem ser configurados para usar SSL certificados para autenticação de back-end	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
APIGateway.3	APIOs REST API estágios do gateway devem ter AWS X-Ray rastreamento ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
APIGateway.4	APIO gateway deve ser associado a uma WAF Web ACL	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
APIGateway5.	APIOs dados REST API do cache do gateway devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
APIGateway8.	APIAs rotas de gateway devem especificar um tipo de autorização	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
APIGateway9.	O registro de acesso deve ser configurado para os estágios do API Gateway V2	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
AppSync.2	AWS AppSync deve ter o registro em nível de campo ativado	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Sim	Acionado por alterações
AppSync.4	AWS AppSync GraphQL APIs deve ser marcado	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
AppSync5.	AWS AppSync O GraphQL não APIs deve ser autenticado com chaves API	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
Atena.2	Os catálogos de dados do Athena devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Atena.3	Os grupos de trabalho do Athena devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Atena.4	Os grupos de trabalho do Athena devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
AutoScaling.1	Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
AutoScaling.2	O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
AutoScaling.3	As configurações de lançamento em grupo do Auto Scaling devem configurar as EC2 instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
Auto Scaling	EC2As instâncias da Amazon lançadas usando as configurações de lançamento em grupo do Auto Scaling não devem ter endereços IP públicos	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
AutoScaling.6	Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
AutoScaling9.	EC2Grupos de Auto Scaling devem usar EC2 modelos de lançamento	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
AutoScaling.10	EC2Grupos de Auto Scaling devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Backup.1	AWS Backup os pontos de recuperação devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Backup.2	AWS Backup os pontos de recuperação devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Backup.3	AWS Backup cofres devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Backup.4	AWS Backup os planos de relatórios devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Backup.5	AWS Backup planos de backup devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
CloudFormation.2	CloudFormation as pilhas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
CloudFront.1	CloudFront as distribuições devem ter um objeto raiz padrão configurado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
CloudFront.3	CloudFront as distribuições devem exigir criptografia em trânsito	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront.4	CloudFront as distribuições devem ter o failover de origem configurado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
CloudFront5.	CloudFront as distribuições devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront.6	CloudFront as distribuições deveriam ter habilitado WAF	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront7.	CloudFront distribuições devem usar certificadosSSL/TLSpersonalizados	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront8.	CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
CloudFront9.	CloudFront as distribuições devem criptografar o tráfego para origens personalizadas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront.10	CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CloudFront1.2	CloudFront distribuições não devem apontar para origens inexistentes do S3	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
CloudFront1.3	CloudFront as distribuições devem usar o controle de acesso de origem	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
CloudFront1.4	CloudFront distribuições devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
CloudTrail.1	CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
CloudTrail.2	CloudTrail deve ter a criptografia em repouso ativada	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
CloudTrail.3	Pelo menos uma CloudTrail trilha deve ser ativada	PCIDSSv3.2.1	HIGH	Nº	Periódico
CloudTrail.4	CloudTrail a validação do arquivo de log deve estar ativada	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	LOW	Nº	Periódico
CloudTrail5.	CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs	CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	LOW	Nº	Periódico
CloudTrail.6	Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	CRITICAL	Nº	Acionado por alterações e periódico
CloudTrail7.	Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudTrail9.	CloudTrail trilhas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
CloudWatch.1	Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz”	CIS AWS Benchmark de fundações v1.2.0, v3.2.1, PCI DSS CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch.2	Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas não autorizadas API	CIS AWS Benchmark de fundações v1.2.0	LOW	Nº	Periódico
CloudWatch.3	Certifique-se de que exista um filtro métrico de registro e um alarme para o login no Management Console sem MFA	CIS AWS Benchmark de fundações v1.2.0	LOW	Nº	Periódico
CloudWatch.4	Certifique-se de que exista um filtro métrico de log e um alarme para mudanças na IAM política	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch5.	Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch.6	Certifique-se de que exista um filtro métrico de registro e um alarme para AWS Management Console falhas de autenticação	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch7.	Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch8.	Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch9.	Certifique-se de que exista um filtro métrico de registro e um alarme para AWS Config alterações de configuração	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch.10	Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch1.1	Verifique se existe um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch1.2	Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch1.3	Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch1.4	Certifique-se de que exista um filtro métrico de registro e um alarme para VPC alterações	CIS AWS Benchmark de fundações v1.2.0, CIS AWS Benchmark de fundações v1.4.0	LOW	Nº	Periódico
CloudWatch1.5	CloudWatch os alarmes devem ter ações especificadas configuradas	NISTSP 800-53 Rev. 5	HIGH	Sim	Acionado por alterações
CloudWatch1.6	CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado	NISTSP 800-53 Rev. 5	MEDIUM	Sim	Periódico
CloudWatch1.7	CloudWatch ações de alarme devem ser ativadas	NISTSP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
CodeArtifact.1	CodeArtifact repositórios devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
CodeBuild.1	CodeBuild O repositório de origem do Bitbucket não URLs deve conter credenciais confidenciais	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
CodeBuild.2	CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
CodeBuild.3	CodeBuild Os registros do S3 devem ser criptografados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
CodeBuild.4	CodeBuild ambientes de projeto devem ter uma configuração de registro	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
CodeBuild7.	CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
Config.1	AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1 PCI DSS	MEDIUM	Sim	Periódico
DataFirehose.1	Os fluxos de entrega do Firehose devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
DataSync.1	DataSync as tarefas devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
Detetive.1	Gráficos de comportamento de Detective devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DMS.1	As instâncias de replicação do Database Migration Service não devem ser públicas	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
DMS.2	DMScertificados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DMS.3	DMSas assinaturas de eventos devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DMS.4	DMSinstâncias de replicação devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DMS5.	DMSgrupos de sub-redes de replicação devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DMS.6	DMSas instâncias de replicação devem ter a atualização automática de versões secundárias ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS7.	DMSas tarefas de replicação para o banco de dados de destino devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS8.	DMSas tarefas de replicação do banco de dados de origem devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS9.	DMSos endpoints devem usar SSL	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS.10	DMSendpoints para bancos de dados Neptune devem ter a autorização habilitada IAM	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS1.1	DMSendpoints para MongoDB devem ter um mecanismo de autenticação habilitado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DMS1.2	DMSendpoints para Redis OSS deveriam estar habilitados TLS	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DocumentDB.1	Os clusters do Amazon DocumentDB devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
DocumentDB.2	Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Sim	Acionado por alterações
DocumentDB.3	Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
DocumentDB.4	Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DocumentDB.5	Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DynamoDB.1	As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
DynamoDB.2	As tabelas do DynamoDB devem ter a recuperação ativada point-in-time	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DynamoDB.3	Os clusters do DynamoDB Accelerator DAX () devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
DynamoDB.4	As tabelas do DynamoDB devem estar presentes em um plano de backup	NISTSP 800-53 Rev. 5	MEDIUM	Sim	Periódico
DynamoDB. 5	As tabelas do DynamoDB devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
DynamoDB.6	As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
DynamoDB 7	Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EC2.1	EBSos instantâneos não devem ser restauráveis publicamente	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
EC2.2	VPCgrupos de segurança padrão não devem permitir tráfego de entrada ou saída	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EC2.3	EBSOs volumes anexados devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EC2.4	EC2As instâncias interrompidas devem ser removidas após um período de tempo especificado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
EC2.6	VPCo registro de fluxo deve ser ativado em todos VPCs	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EC27.	EBSa criptografia padrão deve estar ativada	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EC28.	EC2as instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EC29.	EC2instâncias não devem ter um IPv4 endereço público	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EC2.10	A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EC21.2	Não utilizado EC2 EIPs deve ser removido	PCIDSSv3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
EC21.3	Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 22	CIS AWS Benchmark de fundações v1.2.0, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST	HIGH	Nº	Acionado por alterações e periódico
EC21.4	Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389	CIS AWS Benchmark de fundações v1.2.0	HIGH	Nº	Acionado por alterações e periódico
EC21.5	EC2as sub-redes não devem atribuir automaticamente endereços IP públicos	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EC21.6	As listas de controle de acesso à rede não utilizadas devem ser removidas	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
EC21.7	EC2instâncias não devem usar várias ENIs	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
EC21.8	Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Sim	Acionado por alterações
EC21.9	Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações e periódico
EC2.20	Ambos os VPN túneis para um AWS A VPN conexão site a site deve estar ativa	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EC22.1	A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EC22.2	Grupos de EC2 segurança não utilizados devem ser removidos	Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Periódico
EC22.3	EC2Os Transit Gateways não devem aceitar automaticamente solicitações de VPC anexos	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EC22.4	EC2tipos de instância paravirtual não devem ser usados	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EC22,5	EC2os modelos de lançamento não devem atribuir interfaces públicas IPs às de rede	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EC22.8	EBSos volumes devem estar em um plano de backup	NISTSP 800-53 Rev. 5	LOW	Sim	Periódico
EC23.3	EC2os anexos do gateway de trânsito devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23.4	EC2as tabelas de rotas do gateway de trânsito devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23.5	EC2interfaces de rede devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23.6	EC2os gateways do cliente devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23.7	EC2Endereços IP elásticos devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23,8	EC2instâncias devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC23.9	EC2gateways de internet devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24,0	EC2NATgateways devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.1	EC2a rede ACLs deve ser marcada	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.2	EC2tabelas de rotas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.3	EC2grupos de segurança devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.4	EC2as sub-redes devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24,5	EC2os volumes devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.6	Amazon VPCs deve ser etiquetada	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.7	Os serviços VPC de endpoint da Amazon devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.8	Os registros VPC de fluxo da Amazon devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC24.9	As conexões de VPC peering da Amazon devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC25,0	EC2VPNgateways devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC25.1	EC2VPNOs endpoints do cliente devem ter o registro de conexão do cliente ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
EC25.2	EC2os gateways de trânsito devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EC25.3	EC2grupos de segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração do servidor remoto	CIS AWS Benchmark de fundações v3.0.0	HIGH	Nº	Periódico
EC25,4	EC2grupos de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto	CIS AWS Benchmark de fundações v3.0.0	HIGH	Nº	Periódico
ECR.1	ECRrepositórios privados devem ter a digitalização de imagens configurada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
ECR.2	ECRrepositórios privados devem ter a imutabilidade da tag configurada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ECR.3	ECRos repositórios devem ter pelo menos uma política de ciclo de vida configurada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ECR.4	ECRrepositórios públicos devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
ECS.1	As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário.	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS.2	ECSos serviços não devem ter endereços IP públicos atribuídos a eles automaticamente	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS.3	ECSas definições de tarefas não devem compartilhar o namespace do processo do host	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS.4	ECSos contêineres devem ser executados sem privilégios	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS5.	ECSos contêineres devem ser limitados ao acesso somente de leitura aos sistemas de arquivos raiz	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS8.	Os segredos não devem ser passados como variáveis de ambiente do contêiner	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS9.	ECSas definições de tarefas devem ter uma configuração de registro	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
ECS.10	ECSOs serviços do Fargate devem ser executados na versão mais recente da plataforma Fargate	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ECS1.2	ECSos clusters devem usar o Container Insights	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ECS1.3	ECSos serviços devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
ECS1.4	ECSclusters devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
ECS1.5	ECSas definições de tarefas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EFS.1	O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EFS.2	EFSOs volumes da Amazon devem estar em planos de backup	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EFS.3	EFSos pontos de acesso devem impor um diretório raiz	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EFS.4	EFSos pontos de acesso devem impor uma identidade de usuário	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EFS5.	EFSpontos de acesso devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EFS.6	EFSos destinos de montagem não devem ser associados a uma sub-rede pública	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Periódico
EFS7.	EFSos sistemas de arquivos devem ter os backups automáticos ativados	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
EKS.1	EKSos endpoints do cluster não devem ser acessíveis ao público	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
EKS.2	EKSos clusters devem ser executados em uma versão compatível do Kubernetes	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
EKS.3	EKSclusters devem usar segredos criptografados do Kubernetes	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
EKS.6	EKSclusters devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EKS7.	EKSas configurações do provedor de identidade devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EKS8.	EKSos clusters devem ter o registro de auditoria ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ElastiCache.1	ElastiCache Os clusters (RedisOSS) devem ter backups automáticos ativados	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Sim	Periódico
ElastiCache.2	ElastiCache Os clusters (RedisOSS) devem ter atualizações automáticas de versões secundárias habilitadas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
ElastiCache.3	ElastiCache Os grupos de replicação (RedisOSS) devem ter o failover automático ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ElastiCache.4	ElastiCache Os grupos de replicação (RedisOSS) devem ser encrypted-at-rest	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ElastiCache5.	ElastiCache Os grupos de replicação (RedisOSS) devem ser encrypted-in-transit	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ElastiCache.6	ElastiCache Grupos de replicação (RedisOSS) de versões anteriores devem ter o Redis ativado OSS AUTH	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ElastiCache7.	ElastiCache Os clusters (RedisOSS) não devem usar o grupo de sub-rede padrão	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
ElasticBeanstalk.1	Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
ElasticBeanstalk.2	As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Sim	Acionado por alterações
ElasticBeanstalk.3	O Elastic Beanstalk deve transmitir registros para CloudWatch	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Sim	Acionado por alterações
ELB.1	O Application Load Balancer deve ser configurado para redirecionar todas as solicitações para HTTP HTTPS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ELB.2	Os balanceadores de carga clássicos comSSL/HTTPSouvintes devem usar um certificado fornecido por AWS Certificate Manager	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB.3	Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB.4	O Application Load Balancer deve ser configurado para eliminar cabeçalhos http	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB5.	O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB.6	Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB7.	Os Classic Load Balancers devem ter a drenagem da conexão ativada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB8.	Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma configuração forte	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB9.	Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB.10	O Classic Load Balancer deve abranger várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
ELB1.2	O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB1.3	Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
ELB1.4	O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ELB1.6	Os balanceadores de carga de aplicativos devem ser associados a um AWS WAF web ACL	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
EMR.1	Os nós primários do EMR cluster Amazon não devem ter endereços IP públicos	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
EMR.2	A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
ES.1	Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
ES.2	Os domínios do Elasticsearch não devem ser publicamente acessíveis	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
ES.3	Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.4	O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.5	Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.6	Os domínios do Elasticsearch devem ter pelo menos três nós de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.7	Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.8	As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança mais recente TLS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
ES.9	Os domínios do Elasticsearch devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EventBridge.2	EventBridge ônibus de eventos devem ser etiquetados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
EventBridge.3	EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
EventBridge.4	EventBridge endpoints globais devem ter a replicação de eventos ativada	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
FSx.1	FSxpara sistemas de ZFS arquivos abertos, devem ser configurados para copiar tags para backups e volumes	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
FSx.2	FSxpara Lustre, os sistemas de arquivos devem ser configurados para copiar tags para backups	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
Cola.1	AWS Glue os trabalhos devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Cola.2	AWS Glue os trabalhos devem ter o registro ativado	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
Cola.3	AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
GlobalAccelerator.1	Os aceleradores do Global Accelerator devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
GuardDuty.1	GuardDuty deve ser habilitado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
GuardDuty.2	GuardDuty os filtros devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
GuardDuty.3	GuardDuty IPSetsdeve ser marcado	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
GuardDuty.4	GuardDuty detectores devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
GuardDuty5.	GuardDuty EKSO monitoramento do registro de auditoria deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
GuardDuty.6	GuardDuty A Proteção Lambda deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
GuardDuty8.	GuardDuty A proteção contra malware para EC2 deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
GuardDuty9.	GuardDuty RDSA proteção deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
GuardDuty.10	GuardDuty A proteção S3 deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
IAM.1	IAMas políticas não devem permitir privilégios administrativos “*” completos	CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
IAM.2	IAMos usuários não devem ter IAM políticas anexadas	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
IAM.3	IAMas chaves de acesso dos usuários devem ser trocadas a cada 90 dias ou menos	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
IAM.4	IAMa chave de acesso do usuário root não deve existir	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
IAM5.	MFAdeve ser habilitado para todos os IAM usuários que tenham uma senha de console	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
IAM.6	O hardware MFA deve estar habilitado para o usuário root	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
IAM7.	As políticas de senha para IAM usuários devem ter configurações fortes	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
IAM8.	As credenciais de IAM usuário não utilizadas devem ser removidas	CIS AWS Benchmark de fundações v1.2.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
IAM9.	MFAdeve ser habilitado para o usuário root	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST	CRITICAL	Nº	Periódico
IAM.10	As políticas de senha para IAM usuários devem ter configurações fortes	PCIDSSv3.2.1	MEDIUM	Nº	Periódico
IAM1.1	Certifique-se de que IAM a política de senha exija pelo menos uma letra maiúscula	CIS AWS Benchmark de fundações v1.2.0	MEDIUM	Nº	Periódico
IAM1.2	Certifique-se de que IAM a política de senha exija pelo menos uma letra minúscula	CIS AWS Benchmark de fundações v1.2.0	MEDIUM	Nº	Periódico
IAM1.3	Certifique-se de que IAM a política de senha exija pelo menos um símbolo	CIS AWS Benchmark de fundações v1.2.0	MEDIUM	Nº	Periódico
IAM1.4	Certifique-se de que IAM a política de senha exija pelo menos um número	CIS AWS Benchmark de fundações v1.2.0	MEDIUM	Nº	Periódico
IAM1.5	Certifique-se de que IAM a política de senha exija um tamanho mínimo de senha de 14 ou mais	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0	MEDIUM	Nº	Periódico
IAM1.6	Certifique-se de que IAM a política de senha evite a reutilização de senhas	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0	LOW	Nº	Periódico
IAM1.7	Garanta que IAM a política de senhas expire as senhas em 90 dias ou menos	CIS AWS Benchmark de fundações v1.2.0	LOW	Nº	Periódico
IAM1.8	Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0	LOW	Nº	Periódico
IAM1.9	MFAdeve ser ativado para todos os IAM usuários	PCIDSSv3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
IAM2.1	IAMas políticas gerenciadas pelo cliente que você cria não devem permitir ações curinga para serviços	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
IAM2.2	IAMcredenciais de usuário não utilizadas por 45 dias devem ser removidas	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0	MEDIUM	Nº	Periódico
IAM2.3	IAMOs analisadores do Access Analyzer devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IAM2.4	IAMas funções devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IAM2,5	IAMos usuários devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IAM2,6	ExpiradosSSL/TLScertificados gerenciados em IAM devem ser removidos	CIS AWS Benchmark de fundações v3.0.0	MEDIUM	Nº	Periódico
IAM2.7	IAMidentidades não devem ter a AWSCloudShellFullAccess política anexada	CIS AWS Benchmark de fundações v3.0.0	MEDIUM	Nº	Acionado por alterações
IAM2.8	IAMAnalisador de acesso: o analisador de acesso externo deve estar ativado	CIS AWS Benchmark de fundações v3.0.0	HIGH	Nº	Periódico
Inspetor.1	O EC2 escaneamento do Amazon Inspector deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
Inspetor.2	O ECR escaneamento do Amazon Inspector deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
Inspetor.3	A digitalização de código do Amazon Inspector Lambda deve estar ativada	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
Inspetor.4	O escaneamento padrão do Amazon Inspector Lambda deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
IoT.1	AWS IoT Device Defender perfis de segurança devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IoT.2	AWS IoT Core ações de mitigação devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IoT.3	AWS IoT Core as dimensões devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IoT.4	AWS IoT Core os autorizadores devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IoT.5	AWS IoT Core aliases de função devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
IoT.6	AWS IoT Core as políticas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Kinesis.1	Os fluxos do Kinesis devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Cinesia.2	Os streams do Kinesis devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
KMS.1	IAMas políticas gerenciadas pelo cliente não devem permitir ações de descriptografia em todas as chaves KMS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
KMS.2	IAMos diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
KMS.3	AWS KMS keys não deve ser excluído acidentalmente	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
KMS.4	AWS KMS key a rotação deve ser ativada	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, CIS AWS Benchmark de fundações v1.2.0, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST	MEDIUM	Nº	Periódico
Lambda.1	As funções do Lambda devem proibir o acesso público	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
Lambda.2	As funções do Lambda devem usar os tempos de execução compatíveis	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Lambda.3	As funções Lambda devem estar em um VPC	PCIDSSv3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
Lambda.5	VPCAs funções Lambda devem operar em várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
Lambda.6	As funções Lambda devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Macie.1	O Amazon Macie deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
Macie.2	A descoberta automatizada de dados confidenciais do Macie deve ser ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
MSK.1	MSKos clusters devem ser criptografados em trânsito entre os nós do corretor	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
MSK.2	MSKos clusters devem ter um monitoramento aprimorado configurado	NISTSP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
MQ.2	Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
MQ.3	Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
MQ.4	Os corretores do Amazon MQ devem ser etiquetados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
MQ.5	Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera	NISTSP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower	LOW	Nº	Acionado por alterações
MQ.6	Os agentes do RabbitMQ devem usar o modo de implantação de cluster	NISTSP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower	LOW	Nº	Acionado por alterações
Neptune.1	Os clusters de banco de dados Neptune devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
Neptune.2	Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
Neptune.3	Os instantâneos do cluster de banco de dados Neptune não devem ser públicos	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	CRITICAL	Nº	Acionado por alterações
Neptune.4	O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	LOW	Nº	Acionado por alterações
Neptune.5	Os clusters de banco de dados Neptune devem ter backups automatizados habilitados	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Sim	Acionado por alterações
Neptune.6	Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
Neptune.7	Os clusters de banco de dados Neptune devem ter IAM a autenticação de banco de dados ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
Neptune.8	Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	LOW	Nº	Acionado por alterações
Neptune.9	Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall.1	Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall.2	O registro em log do Network Firewall deve ser habilitado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
NetworkFirewall.3	As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall.4	A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall5.	A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados.	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall.6	O grupo de regras de firewall de rede sem estado não deve estar vazio	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
NetworkFirewall7.	Firewall de rede (firewalls) devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
NetworkFirewall8.	As políticas de firewall do Network Firewall devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
NetworkFirewall9.	Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.1	OpenSearch os domínios devem ter a criptografia em repouso ativada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.2	OpenSearch os domínios não devem ser acessíveis ao público	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
Opensearch.3	OpenSearch os domínios devem criptografar os dados enviados entre os nós	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.4	OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.5	OpenSearch os domínios devem ter o registro de auditoria ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.6	OpenSearch os domínios devem ter pelo menos três nós de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Opensearch.7	OpenSearch os domínios devem ter um controle de acesso refinado ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
Opensearch.8	As conexões com OpenSearch domínios devem ser criptografadas usando a política de TLS segurança mais recente	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Pesquisa aberta. 9	OpenSearch domínios devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Opensearch.10	OpenSearch os domínios devem ter a atualização de software mais recente instalada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
Abrir pesquisa. 11	OpenSearch os domínios devem ter pelo menos três nós primários dedicados	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Periódico
PCA.1	AWS Private CA a autoridade de certificação raiz deve ser desativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Periódico
RDS.1	RDSo instantâneo deve ser privado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
RDS.2	RDSAs instâncias de banco de dados devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
RDS.3	RDSAs instâncias de banco de dados devem ter a criptografia em repouso ativada	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS.4	RDSos instantâneos do cluster e os instantâneos do banco de dados devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS5.	RDSAs instâncias de banco de dados devem ser configuradas com várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS.6	O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Sim	Acionado por alterações
RDS7.	RDSos clusters devem ter a proteção contra exclusão ativada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS8.	RDSAs instâncias de banco de dados devem ter a proteção contra exclusão ativada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS9.	RDSAs instâncias de banco de dados devem publicar registros no CloudWatch Logs	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS.10	IAMa autenticação deve ser configurada para RDS instâncias	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS1.1	RDSas instâncias devem ter backups automáticos ativados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
RDS1.2	IAMa autenticação deve ser configurada para RDS clusters	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS1.3	RDSatualizações automáticas de versões secundárias devem ser habilitadas	CIS AWS Benchmark de fundações v3.0.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
RDS1.4	Os clusters Amazon Aurora devem ter o backtracking habilitado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
RDS1.5	RDSOs clusters de banco de dados devem ser configurados para várias zonas de disponibilidade	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS1.6	RDSOs clusters de banco de dados devem ser configurados para copiar tags para snapshots	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS1.7	RDSAs instâncias de banco de dados devem ser configuradas para copiar tags para snapshots	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS1.8	RDSas instâncias devem ser implantadas em um VPC	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
RDS1.9	As assinaturas de notificação de RDS eventos existentes devem ser configuradas para eventos críticos do cluster	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS.20	As assinaturas de notificação de RDS eventos existentes devem ser configuradas para eventos críticos de instâncias de banco de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS2.1	Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS2.2	Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de segurança do banco de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS2.3	RDSinstâncias não devem usar uma porta padrão do mecanismo de banco de dados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
RDS2.4	RDSOs clusters de banco de dados devem usar um nome de usuário de administrador personalizado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS2,5	RDSinstâncias de banco de dados devem usar um nome de usuário de administrador personalizado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS2,6	RDSAs instâncias de banco de dados devem ser protegidas por um plano de backup	NISTSP 800-53 Rev. 5	MEDIUM	Sim	Periódico
RDS2.7	RDSOs clusters de banco de dados devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower	MEDIUM	Nº	Acionado por alterações
RDS2.8	RDSOs clusters de banco de dados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS2,9	RDSOs snapshots do cluster de banco de dados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS3.0	RDSAs instâncias de banco de dados devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS3.1	RDSGrupos de segurança de banco de dados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS3.2	RDSOs snapshots de banco de dados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS3.3	RDSGrupos de sub-redes de banco de dados devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
RDS3.4	Os clusters do Aurora My SQL DB devem publicar registros de auditoria no Logs CloudWatch	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
RDS3.5	RDSOs clusters de banco de dados devem ter a atualização automática de versões secundárias habilitada	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.1	Os clusters do Amazon Redshift devem proibir o acesso público	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
Redshift.2	As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.3	Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
Redshift.4	Os clusters do Amazon Redshift devem ter o registro de auditoria ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.6	O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.7	Os clusters do Redshift devem usar roteamento aprimorado VPC	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.8	Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.9	Os clusters do Redshift não devem usar o nome do banco de dados padrão	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Redshift.10	Os clusters do Redshift devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
Desvio para o vermelho.11	Os clusters do Redshift devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Desvio para o vermelho.12	As notificações de assinatura de eventos do Redshift devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Desvio para o vermelho.13	Os instantâneos do cluster do Redshift devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Desvio para o vermelho.14	Os grupos de sub-redes do cluster Redshift devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Desvio para o vermelho.15	Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster somente de origens restritas	AWS Melhores práticas básicas de segurança v1.0.0	HIGH	Nº	Periódico
Rota 53.1	As verificações de saúde do Route 53 devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Route53.2	As zonas hospedadas públicas do Route 53 devem registrar DNS consultas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.1	Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
S3.2	Os buckets de uso geral do S3 devem bloquear o acesso público de leitura	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações e periódico
S3.3	Os buckets de uso geral do S3 devem bloquear o acesso público de gravação	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações e periódico
S3.5	Os buckets de uso geral do S3 devem exigir solicitações de uso SSL	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.6	As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
S3.7	Os buckets de uso geral do S3 devem usar a replicação entre regiões	PCIDSSv3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
S3.8	Os buckets de uso geral do S3 devem bloquear o acesso público	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
S3.9	Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.10	Os buckets de uso geral do S3 com versionamento ativado devem ter configurações de ciclo de vida	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.11	Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas	NISTSP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
S3.12	ACLsnão deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.13	Os buckets de uso geral do S3 devem ter configurações de ciclo de vida	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	LOW	Sim	Acionado por alterações
S3.14	Os buckets de uso geral do S3 devem ter o controle de versão ativado	NISTSP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
S3.15	Os buckets de uso geral do S3 devem ter o Object Lock ativado	NISTSP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
S3.17	Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys	Padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
S3.19	Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Acionado por alterações
S3.20	Os buckets de uso geral do S3 devem ter MFA a exclusão ativada	CIS AWS Benchmark de fundações v3.0.0, CIS AWS Benchmark de fundações v1.4.0, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
S3.22	Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto	CIS AWS Benchmark de fundações v3.0.0	MEDIUM	Nº	Periódico
S3.23	Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto	CIS AWS Benchmark de fundações v3.0.0	MEDIUM	Nº	Periódico
SageMaker.1	As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
SageMaker.2	SageMaker instâncias de notebook devem ser lançadas de forma personalizada VPC	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
SageMaker.3	Os usuários não devem ter acesso root às instâncias do SageMaker notebook	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
SageMaker.4	SageMaker as variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior que 1	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
SecretsManager.1	Os segredos do Secrets Manager devem ter a alternância automática ativada	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Acionado por alterações
SecretsManager.2	Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
SecretsManager.3	Remover segredos do Secrets Manager não utilizados	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
SecretsManager.4	Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Sim	Periódico
SecretsManager5.	Os segredos do Secrets Manager devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
ServiceCatalog.1	Os portfólios do Service Catalog devem ser compartilhados em um AWS somente organização	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	HIGH	Nº	Periódico
SES.1	SESlistas de contatos devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
SES.2	SESconjuntos de configuração devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
SNS.1	SNSos tópicos devem ser criptografados em repouso usando AWS KMS	NISTSP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
SNS.3	SNSos tópicos devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
SQS.1	SQSAs filas da Amazon devem ser criptografadas em repouso	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
SQS.2	SQSas filas devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
SSM.1	EC2as instâncias devem ser gerenciadas por AWS Systems Manager	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
SSM.2	EC2as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	HIGH	Nº	Acionado por alterações
SSM.3	EC2as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5	LOW	Nº	Acionado por alterações
SSM.4	SSMdocumentos não devem ser públicos	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	CRITICAL	Nº	Periódico
StepFunctions.1	As máquinas de estado do Step Functions devem ter o registro ativado	AWS Melhores práticas básicas de segurança	MEDIUM	Sim	Acionado por alterações
StepFunctions.2	As atividades do Step Functions devem ser marcadas	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Transferência.1	Os fluxos de trabalho do Transfer Family devem ser marcados	AWS Padrão de marcação de recursos	LOW	Sim	Acionado por alterações
Transferência.2	Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoint	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
WAF.1	AWS WAF O ACL registro clássico da Web global deve estar ativado	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Periódico
WAF.2	AWS WAF As regras regionais clássicas devem ter pelo menos uma condição	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF.3	AWS WAF Os grupos de regras regionais clássicos devem ter pelo menos uma regra	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF.4	AWS WAF A web regional clássica ACLs deve ter pelo menos uma regra ou grupo de regras	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF.6	AWS WAF As regras globais clássicas devem ter pelo menos uma condição	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF7.	AWS WAF Os grupos de regras globais clássicos devem ter pelo menos uma regra	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF8.	AWS WAF A web global clássica ACLs deve ter pelo menos uma regra ou grupo de regras	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF.10	AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras	AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços: AWS Control Tower, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WAF1.1	AWS WAF o ACL registro na web deve estar ativado	NISTSP 800-53 Rev. 5	LOW	Nº	Periódico
WAF1.2	AWS WAF as regras devem ter CloudWatch métricas ativadas	AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5	MEDIUM	Nº	Acionado por alterações
WorkSpaces.1	WorkSpaces os volumes do usuário devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações
WorkSpaces.2	WorkSpaces os volumes raiz devem ser criptografados em repouso	AWS Melhores práticas básicas de segurança v1.0.0	MEDIUM	Nº	Acionado por alterações

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles

Conta da AWS controles